Alarmes falsos
O log acima mostra que alguém estava tentando invadir o sistema, mas eles não tiveram sucesso. Esta linha mostra que eles tentaram e falharam 5 vezes no SSH no sistema como root.
PAM 5 more authentication failures...
Se você vir esses tipos de mensagens em seus registros, é bom investigá-los para entender o que eles significam, mas também para não ficar muito alarmado com eles.
OBSERVAÇÃO: esse tipo de conversa nos registros é geralmente chamado de IBR (Internet Background Radiation) ou IBN (ruído de fundo da Internet) .
Convencido de que você foi hackeado? - Como diagnosticar
Tendo sido alguém que trabalhou com o FBI uma vez antes, no meu passado, estas foram as seguintes coisas que fiz para diagnosticar um servidor que havia sido comprometido. Estes não estão em ordem particular!
-
Retire o sistema imediatamente.
-
Se você suspeitar que um sistema foi comprometido, não será mais possível confiar em nenhum software neste servidor. Portanto, use ferramentas alternativas, ou seja, desligue o servidor e monte o disco em modo slaved ou inicialize a partir de um CD / USB ativo bem conhecido.
-
Os registros podem ter sido adulterados, mas inicie sua análise examinando-os quanto a anomalias.
-
Arquivar o sistema. Se você não fez o backup, faça isso agora.
-
Faça engenharia reversa sobre como os invasores entraram para que você entenda as vulnerabilidades e possa bloqueá-las no futuro.
-
Mantenha um conjunto arquivado do sistema, com a chance de que os policiais possam aparecer perguntando sobre o seu sistema.
-
Realize sua análise usando os dados copiados.
-
Ao reinstalar, certifique-se de não estar reinstalando dados comprometidos ou código vulnerável.
Faça engenharia reversa de todas as portas traseiras e / ou software que os atacantes instalaram para que você possa entender com que finalidade nefastos seu sistema foi usado pelos invasores.