O que devo verificar após um acesso não autorizado?

6

Eu acidentalmente deixei uma porta aberta no meu roteador, deixando o acesso a um dos meus computadores via SSH, usando uma senha bastante insegura. Percebi porque verifiquei /var/log/auth.log e há apenas uma entrada do lado de fora. Não há histórico de bash nem nada facilmente perceptível. O que devo verificar para saber se meu computador não está comprometido?

    
por Tomas 15.01.2013 / 02:29

1 resposta

6

Verifique cuidadosamente, se quiser, mas os atacantes espertos podem deixar sinais fáceis de detectar, mas escondem outros backdoors escondidos de maneira inteligente ... Pode ser impossível ter certeza ...

O problema é que, uma vez comprometida, a máquina (e outras máquinas às quais ela pode acessar) torna-se pouco confiável (já que é impossível saber se elas mudaram alguma coisa. Então você tem que assumir que elas o fizeram. poderia alterar o sistema operacional / kernel, os comandos, o sistema de arquivos, os setores de inicialização, qualquer coisa.Pode simplesmente agir "normal" e ocultar arquivos específicos ou pastas ou pacotes de rede.Você não pode confiar em nenhum comando em uma máquina que foi acessada por hackers.)

Normalmente, a melhor tática (e a mais rápida!) é a abordagem "nuke orbit": desconecte a máquina de todas as redes (lan, etc), faça backup de documentos e reinstale a máquina inteira usando um CD. e não temperado com fonte). E, em seguida, restaurar apenas os documentos sobre ele (no exe, sem dll, sem binários, sem scripts (ou verificá-los thourougly), etc). E consertar o que permitiu a violação em primeiro lugar antes de conectá-lo à rede novamente.

O problema é que, além dessa máquina, uma vez tendo acesso à lan, eles poderiam ter usado ferramentas para obter acesso a qualquer uma das outras máquinas (incluindo o roteador).

A mesma tática aplica-se também ...

Deixe a parte "investigação" para outras pessoas e outras vezes (mantenha o disco por perto quando tiver tempo).

Para um procedimento de modo detalhado, link , por RobM , é uma boa leitura, com passos seguros e importantes.

    
por 15.01.2013 / 11:16

Tags