मेरा लिनक्स सर्वर हैक हो गया था। मुझे कैसे पता चलेगा कि यह कैसे और कब किया गया था?

मेरे पास एक डेस्कटॉप सर्वर एक डेस्कटॉप ubuntu वितरण चल रहा है। मुझे यह मेरे कॉट्रैब में मिला

* * * * * /home/username/ /.access.log/y2kupdate >/dev/null 2>&1

और जब उस निर्देशिका (उपयोगकर्ता नाम के बाद का स्थान / एक निर्देशिका का नाम है) को देख रहा हूं, तो मुझे बहुत सी स्क्रिप्ट मिलीं जो स्पष्ट रूप से कुछ ऐसा कर रही हैं जो उन्हें नहीं करना चाहिए।

इससे पहले कि मैं उस कंप्यूटर को मिटा दूं और सामान को फिर से स्थापित करूं, मैं यह पता लगाना चाहूंगा कि सुरक्षा भंग का कारण क्या था और यह कब किया गया था। इसलिए मैं फिर से वही छेद नहीं खोलता।

मुझे कौन सी लॉग फाइल देखनी चाहिए? केवल सर्वर जो मुझे पता है कि कंप्यूटर पर चल रहा है sshd और lighttpd है।

अगर इस तरह की चीजें दोबारा होती हैं तो मुझे क्या करना चाहिए?

सबसे पहले, सुनिश्चित करें कि कंप्यूटर किसी भी नेटवर्क से डिस्कनेक्ट हो गया है।
दूसरा, सुनिश्चित करें कि आप हैक किए गए ओएस को फिर से बूट करने से पहले ड्राइव से कोई महत्वपूर्ण डेटा प्राप्त करें।

सवाल में फाइलों पर समय टिकटों की जाँच के साथ शुरू करो। अक्सर वे सटीक होते हैं।
यदि वे मिटाए नहीं गए थे, तो httpd लॉग और ऑर्टिकल लॉग के साथ क्रॉस संदर्भ। यदि एक दूसरे को मिटा दिया गया था, तो आप शर्त लगा सकते हैं कि प्रवेश का साधन था। यदि वे अभी भी चातुर्य में हैं, तो हो सकता है कि आप लॉग से कैसे प्राप्त करें, इस बारे में अधिक जानकारी प्राप्त कर सकें।

यदि वे सभी मिटा दिए गए हैं, तो आप बहुत खराब हैं। यह संभवतः यह पता लगाने में अधिक समय लेगा कि इसके लायक क्या हुआ।

आपने उन दो सेवाओं का उल्लेख किया था, क्या बाकी सब चीजों को एक्सेस करने से रोकने के लिए एक अच्छा फ़ायरवॉल था? क्या आपने पोर्ट 22 पर एसएसएच की अनुमति दी थी; क्या आपका लॉगिन अनुमान लगाने में आसान है; क्या आपने पासवर्ड लॉगिन की अनुमति दी थी; क्या आपके पास पासवर्ड लॉगिन के लिए किसी भी प्रकार की वास्तविक दर सीमित है? क्या आपके पास लाइटटैप के साथ कोई अतिरिक्त सॉफ़्टवेयर स्थापित है; पर्ल; php; cgi; एक सीएमएस या समान? क्या आप सभी सॉफ्टवेयर का अपडेटेड वर्जन चला रहे थे; क्या आप अपने द्वारा चलाए जा रहे सभी सॉफ़्टवेयरों के लिए सुरक्षा सूचनाओं की सदस्यता लेते हैं और सभी सूचनाओं का ध्यानपूर्वक मूल्यांकन करते हैं कि क्या वे आपके द्वारा चलाए गए सॉफ़्टवेयर पर लागू होती हैं / जनता के सामने आती हैं?

यह अपने आप में एक विषय है; अधिक जानकारी के लिए आप लिनक्स फोरेंसिक के लिए गूगल कर सकते हैं। मूल रूप से आपको पहले ऑफ़लाइन विश्लेषण के लिए अपने ड्राइव की एक छवि बनानी होगी, फिर कंप्यूटर को पोंछकर क्लीन स्लेट से इंस्टॉल करना होगा।

और सारी घटना याद है। कंप्यूटर का उपयोग करने वाला कोई भी व्यक्ति अपने पासवर्ड से समझौता कर सकता था। पासवर्ड बदलें, इसे ऑफ़लाइन रखें, आदि जब तक कि आप इसे "क्लीन रूम" (पृथक वीएम) में प्राप्त न करें।

अन्यथा यह बहुत सारे लॉग की जाँच (जो कि फीका हो सकता है) और आपके एप्लिकेशन (php स्क्रिप्ट्स की जाँच कर रहा है? डेटाबेस? नवीनतम फ़िक्सेस के लिए अद्यतन? अन्य उपयोगकर्ता पासवर्ड दे रहा है?)

आपके प्रश्न का उत्तर देने का कोई आसान तरीका नहीं है क्योंकि आपको सर्वर पर फोरेंसिक काम करने और छेदों की जांच करने की आवश्यकता होगी। आप कुछ स्वचालित साधनों का उपयोग कर सकते हैं, लेकिन ध्यान रखें यदि हमलावर के पास रूट है तो आप सिस्टम बायनेरिज़ पर भरोसा नहीं कर सकते हैं, और आप लॉग पर भरोसा नहीं कर सकते।

भविष्य के हमलों के लिए, आप इसे कितना सुरक्षित बनाना चाहते हैं, इसके आधार पर, आप अपने लॉग को एक सिस्टम पर पुनर्निर्देशित करके शुरू कर सकते हैं जो कि सिस्टम लॉग को बचाने के लिए उपयोग किया जाता है। कोई अन्य पहुंच नहीं, हमले के निशान को कम करने के लिए।

आप अपनी फ़ाइलों की अखंडता की जांच करने के लिए ट्रिपवायर की तरह अपने सिस्टम पर चेकसम सॉफ्टवेयर चलाएंगे।

और निश्चित रूप से अपडेट के साथ अद्यतित रहें और स्कैनिंग सॉफ़्टवेयर चलाएं जो रूटकिट्स के लिए जांचते हैं।

फिर से, सुरक्षा एक फेंक-स्विच चीज नहीं है। यह अपने आप में एक विशेषता भी हो सकती है। लेयर्ड सुरक्षा मेजबानों / आईपी के लिए कड़ी हो सकती है, जो आपके नेटवर्क पर नहीं है, सिस्टम तक सभी पहुंच को एन्क्रिप्ट कर रहा है, आपके द्वारा भेजे गए परिवर्तनों के दैनिक लॉग आपके पास भेज रहा है, और आपके नेटवर्क पर एक हनीपॉट सेट कर रहा है। अजीब गतिविधि के लिए देखें (मेरा सर्वर हनीपोट कंप्यूटर पर पोर्ट 25 से कनेक्ट करने की कोशिश क्यों कर रहा है?)

सबसे पहले और सबसे महत्वपूर्ण अगर आप गतिविधि की जांच करना चाहते हैं, तो डिस्क छवि प्राप्त करें और सर्वर सॉफ़्टवेयर को पुनर्स्थापित करें। शुरुवात से। सर्वर के बायनेरिज़ पर अब भरोसा नहीं किया जा सकता है।

EDIT - SSH को चलाने के बाद से मेरे साथ होने वाली कुछ अन्य चीजें - denyhosts इंस्टॉल करें। इसे कॉन्फ़िगर किया जा सकता है ताकि एसएसएचडी पर आपके सिस्टम के खिलाफ स्वचालित हमले एक्स के प्रयासों की संख्या के बाद लॉक हो जाएंगे। इसे स्वचालित मेलों को कम करने में मदद करने के लिए लॉक किए गए आईपी को साझा करने के लिए "क्लाउड" में अन्य डेनिस्ट सर्वर से अपडेट करने के लिए भी कॉन्फ़िगर किया जा सकता है। आप उस पोर्ट को भी स्थानांतरित कर सकते हैं जिस पर वह सुन रहा है; कई लोग बताते हैं कि यह केवल अस्पष्टता के माध्यम से सुरक्षा है, लेकिन बॉट स्कैनिंग की संख्या को देखते हुए, यह अंदर तोड़ने के यादृच्छिक प्रयासों पर काफी कटौती करता है।