Como remover uma conta hackeada no servidor Ubuntu

Navegue suas respostas
4

Meu servidor tem 2 contas invadidas e, agora, se eu tentar removê-las de qualquer forma, após esse 1 minuto, elas serão adicionadas automaticamente com a permissão mais alta em 

visudo NOPASSWORD=ALL

Então, como posso descobrir o código raiz e removê-lo para sempre?

    
por user3160078 08.04.2017 / 18:29

2 respostas

1

Desculpe dizer, mas A única maneira correta de ir é desativar a máquina a partir de órbita .

Se um hacker conseguir penetrar no seu sistema, você nunca saberá se você limpou todos os vestígios ou se ainda tem outro ás na manga com o qual pode recuperar o acesso.

Você deve tentar investigar como eles hackearam o sistema em primeiro lugar, para que você possa consertar essa falha de segurança mais tarde em sua nova instalação e, em seguida, apague completamente todo o sistema e instale do zero. Portanto, é a melhor idéia desligar o servidor e inicializar um sistema ativo do qual você pode clonar todo o armazenamento. Posteriormente, você poderá examinar essa imagem em um ambiente protegido e bloqueado (sem acesso à Internet ou às redes da sua empresa, etc.).

Você também deve fazer o backup de todos os dados necessários, mas o mínimo possível, porque todos os arquivos copiados podem estar potencialmente infectados. Comparar seus arquivos de dados atuais com os de backups mais antigos (você tem backups periódicos, certo !?) pode ajudar a decidir o que você precisa e o que está em boa forma.

Perguntas relacionadas em outros sites do Stack Exchange:

por Byte Commander 08.04.2017 / 18:46
-1
  • Inicialize uma sessão ao vivo. NÃO use o sistema em si.
  • Monte os discos
  • Faça login em uma sessão de terminal e faça sudo -i para chegar a um prompt

  • Faça uma pesquisa sobre / com 1 dos nomes dessas contas 

    grep -rnwl '/' -e "{name}"

    em que {name} é o que você deseja encontrar.

    • r: recursivo
    • w: corresponde à palavra inteira
    • l: mostre apenas os nomes dos arquivos

Demorará um pouco dependendo do tamanho do disco para que você possa começar pesquisando / home / em vez de todo o disco primeiro. Mas duvido que seja um arquivo em / home /

  • enquanto você está nisso: altere sua senha de administrador com passwd {accountname} .
  • Também antes de fazer isso, você também pode verificar /etc/profile , /etc/crontab , crontab -l para ações estranhas e em seu / home o arquivo .bashrc para qualquer ação que não deveria estar lá

Veja se você pode descobrir o que está acontecendo para que você possa tomar precauções para que isso não aconteça novamente. É melhor reinstalar embora. Heck é a única opção sã Coloque seus arquivos pessoais em um USB. Anote o software que você instalou, anote os logs do roteador e copie todos os arquivos de logs do / var / log para verificar se há intrusões quando o sistema estiver limpo novamente.

Atualize seus arquivos com cuidado (verifique se eles são o que devem ser e não execute nenhum deles antes de ter certeza).

Outra coisa a fazer: criar um backup do arquivo sudo, limpá-lo e usar inotify copiar imediatamente um arquivo de backup sobre o alterado. Isso vai atrapalhar o que eles tentarem fazer com o seu sistema.

    
por Rinzwind 08.04.2017 / 18:42

Tags

USB não mostrado na opção de inicialização do UEFI Permissões de unidade formatadas - Utilitário de disco do GNOME