Найдено SSH Backdoor на VServer. Что делать?
Возможно, самое простое разрешение, которое вы ищете, не столько связано с Ubuntu, сколько связано с Firefox. Вы хотите импортировать свои закладки из Seaborn в Firefox, я полагаю. Вот предлагаемый ответ на ссылку, которую я нашел, которая, похоже, сработала в этом случае -
Если у вас есть версия SeaMonkey, которая использует places.sqlite, вы можете скопировать этот файл из папки профиля SeaMonkey в Firefox папке профиля. http://kb.mozillazine.org/Transferring_data_to_a_new_profile_-_Firefox http://kb.mozillazine.org/Transferring_data_to_a_new_profile_-_SeaMonkeyИсточник - https://support.mozilla.org/en-US/questions / 963390
Дайте мне знать, если это сработает.
6 ответов
Это то, что вы должны делать на всех системах, которые у вас были с этим sniffer.tgz, на: Nuke Them From Orbit немедленно, и начать с чистой установки. (То есть, уничтожьте систему (ы), переустановите очистку, загрузите данные из чистых резервных копий - если у вас есть резервные копии, которые чисты, а затем затвердейте систему (ы), прежде чем поместить их обратно в Интернет).
Всякий раз, когда у вас есть вредоносное ПО или хакеры, входящие в вашу систему, пришло время повторно проанализировать, как настроена ваша система, и убедитесь, что clean повторите те же шаги, с которыми они столкнулись. Но, поскольку это не может быть система, у вас есть возможность отвлечься и проанализировать, и поскольку это может быть ваш единственный сервер, пришло время просто Nuke Them From Orbit немедленно виртуальная система и начать с нуля (как я сказал выше).
(И это относится к любой ситуации, когда вы получаете вредоносное ПО в системе. Если у вас нет запасного оборудования, чтобы заменить что-то подобное, чтобы вы могли изолировать и судебно изучите неисправную систему, которой обычно не пользуются большинство пользователей, у вас нет выбора, кроме как разблокировать систему и начать все заново.)
Не анализируя ваш сервер, я не могу сказать, что вы сделали неправильно, но вполне вероятно, что этот бэкдор глубже в системе, чем просто простая «программа», которая была установлена. И, поскольку плохие парни уже установили бэкдор в вашей системе, вы можете предположить, что все ваши пароли теперь нарушены и больше не безопасны (будь то для SSH, или для MySQL root, или для любого другого типа пароля, который имеет EVER были введены в эту компьютерную систему). Время для изменения всех ваших паролей!
Как только вы вернетесь в чистую среду, вот несколько основных советов по ужесточению шагов, которые следует учитывать. Обратите внимание, что, поскольку они значительно расширяют тему, я не могу здесь подробно разобраться, но настало время сделать некоторые упрощающие шаги для защиты вашей системы:
Включить брандмауэр и только разрешить доступ к портам, которые необходимо открыть. ufw существует просто, поэтому давайте использовать это. [F3]. (Конфигурирование ufw правильно для вашей среды - это другая история, и это выходит за рамки этого вопроса.) Ограничение доступа к удаленному SSH. Это не всегда выполнимо, но вы идеально определили бы IP-адреса, принадлежащие вам, и, в частности, их белый список в брандмауэре. (Если вы используете динамический IP-адрес дома, пропустите этот шаг). Блокируйте доступ SSH к вашему серверу и требуйте использовать ключи SSH только для аутентификации. Таким образом, хакеры не могут атаковать ваш сервер и пытаться просто угадать пароли. Намного сложнее догадаться о собственном личном ключе (потому что вы должны были бы наброситься на всех), и это помогает защитить от грубых атак. Если вы используете веб-сайт, обязательно заблокируйте разрешения, чтобы люди не могли загружать / выполнять вещи на досуге. Выполнение этого варьируется от сайта к сайту, поэтому я не могу дать вам больше указаний здесь (это невозможно сделать). Кроме того, если вы используете веб-сайт с помощью Joomla или Wordpress или таких, убедитесь, что вы постоянно обновляете среду и исправляете уязвимости безопасности у поставщиков программного обеспечения. По возможности, установите, настройте и используйте методы двухфакторной аутентификации (2FA) для вещей, с которыми вы аутентифицируете. Существует множество решений для аутентификации второго фактора для разных приложений, и таким образом защита различных приложений выходит за рамки этой статьи, поэтому вы должны сделать свое исследование по этому вопросу, прежде чем выберете решение. Если вы абсолютно должны использовать пароли в своей настройке, используйте достойный менеджер паролей (облачные - это не обязательно хорошие варианты) и используйте длинномерные (25 + символов), случайные, неподдающиеся памяти пароли, которые различаются для каждого отдельного элемента, который является защищенных паролями (отсюда рекомендация для менеджера паролей). (Тем не менее, вы должны настоятельно рассмотреть возможность использования паролей, где это возможно (например, для проверки подлинности SSH) и, если возможно, использовать 2FA).-
1Комментарии не предназначены для расширенного обсуждения; этот разговор был перемещен в чат . – terdon♦ 6 March 2018 в 18:51
-
2Я принял ответ, так как это то, что я собираюсь сделать. Никогда не пытаюсь закрыть Backdoor на виртуальной машине, только для моего личного интереса. – itskajo 7 March 2018 в 14:46
Это то, что вы должны делать на всех системах, которые у вас были с этим sniffer.tgz, на: Nuke Them From Orbit немедленно, и начать с чистой установки. (То есть, уничтожьте систему (ы), переустановите очистку, загрузите данные из чистых резервных копий - если у вас есть резервные копии, которые чисты, а затем затвердейте систему (ы), прежде чем поместить их обратно в Интернет).
Всякий раз, когда у вас есть вредоносное ПО или хакеры, входящие в вашу систему, пришло время повторно проанализировать, как настроена ваша система, и убедитесь, что clean повторите те же шаги, с которыми они столкнулись. Но, поскольку это не может быть система, у вас есть возможность отвлечься и проанализировать, и поскольку это может быть ваш единственный сервер, пришло время просто Nuke Them From Orbit немедленно виртуальная система и начать с нуля (как я сказал выше).
(И это относится к любой ситуации, когда вы получаете вредоносное ПО в системе. Если у вас нет запасного оборудования, чтобы заменить что-то подобное, чтобы вы могли изолировать и судебно изучите неисправную систему, которой обычно не пользуются большинство пользователей, у вас нет выбора, кроме как разблокировать систему и начать все заново.)
Не анализируя ваш сервер, я не могу сказать, что вы сделали неправильно, но вполне вероятно, что этот бэкдор глубже в системе, чем просто простая «программа», которая была установлена. И, поскольку плохие парни уже установили бэкдор в вашей системе, вы можете предположить, что все ваши пароли теперь нарушены и больше не безопасны (будь то для SSH, или для MySQL root, или для любого другого типа пароля, который имеет EVER были введены в эту компьютерную систему). Время для изменения всех ваших паролей!
Как только вы вернетесь в чистую среду, вот несколько основных советов по ужесточению шагов, которые следует учитывать. Обратите внимание, что, поскольку они значительно расширяют тему, я не могу здесь подробно разобраться, но настало время сделать некоторые упрощающие шаги для защиты вашей системы:
Включить брандмауэр и только разрешить доступ к портам, которые необходимо открыть. ufw существует просто, поэтому давайте использовать это. [F3]. (Конфигурирование ufw правильно для вашей среды - это другая история, и это выходит за рамки этого вопроса.) Ограничение доступа к удаленному SSH. Это не всегда выполнимо, но вы идеально определили бы IP-адреса, принадлежащие вам, и, в частности, их белый список в брандмауэре. (Если вы используете динамический IP-адрес дома, пропустите этот шаг). Блокируйте доступ SSH к вашему серверу и требуйте использовать ключи SSH только для аутентификации. Таким образом, хакеры не могут атаковать ваш сервер и пытаться просто угадать пароли. Намного сложнее догадаться о собственном личном ключе (потому что вы должны были бы наброситься на всех), и это помогает защитить от грубых атак. Если вы используете веб-сайт, обязательно заблокируйте разрешения, чтобы люди не могли загружать / выполнять вещи на досуге. Выполнение этого варьируется от сайта к сайту, поэтому я не могу дать вам больше указаний здесь (это невозможно сделать). Кроме того, если вы используете веб-сайт с помощью Joomla или Wordpress или таких, убедитесь, что вы постоянно обновляете среду и исправляете уязвимости безопасности у поставщиков программного обеспечения. По возможности, установите, настройте и используйте методы двухфакторной аутентификации (2FA) для вещей, с которыми вы аутентифицируете. Существует множество решений для аутентификации второго фактора для разных приложений, и таким образом защита различных приложений выходит за рамки этой статьи, поэтому вы должны сделать свое исследование по этому вопросу, прежде чем выберете решение. Если вы абсолютно должны использовать пароли в своей настройке, используйте достойный менеджер паролей (облачные - это не обязательно хорошие варианты) и используйте длинномерные (25 + символов), случайные, неподдающиеся памяти пароли, которые различаются для каждого отдельного элемента, который является защищенных паролями (отсюда рекомендация для менеджера паролей). (Тем не менее, вы должны настоятельно рассмотреть возможность использования паролей, где это возможно (например, для проверки подлинности SSH) и, если возможно, использовать 2FA).Это то, что вы должны делать на всех системах, которые у вас были с этим sniffer.tgz, на: Nuke Them From Orbit немедленно, и начать с чистой установки. (То есть, уничтожьте систему (ы), переустановите очистку, загрузите данные из чистых резервных копий - если у вас есть резервные копии, которые чисты, а затем затвердейте систему (ы), прежде чем поместить их обратно в Интернет).
Всякий раз, когда у вас есть вредоносное ПО или хакеры, входящие в вашу систему, пришло время повторно проанализировать, как настроена ваша система, и убедитесь, что clean повторите те же шаги, с которыми они столкнулись. Но, поскольку это не может быть система, у вас есть возможность отвлечься и проанализировать, и поскольку это может быть ваш единственный сервер, пришло время просто Nuke Them From Orbit немедленно виртуальная система и начать с нуля (как я сказал выше).
(И это относится к любой ситуации, когда вы получаете вредоносное ПО в системе. Если у вас нет запасного оборудования, чтобы заменить что-то подобное, чтобы вы могли изолировать и судебно изучите неисправную систему, которой обычно не пользуются большинство пользователей, у вас нет выбора, кроме как разблокировать систему и начать все заново.)
Не анализируя ваш сервер, я не могу сказать, что вы сделали неправильно, но вполне вероятно, что этот бэкдор глубже в системе, чем просто простая «программа», которая была установлена. И, поскольку плохие парни уже установили бэкдор в вашей системе, вы можете предположить, что все ваши пароли теперь нарушены и больше не безопасны (будь то для SSH, или для MySQL root, или для любого другого типа пароля, который имеет EVER были введены в эту компьютерную систему). Время для изменения всех ваших паролей!
Как только вы вернетесь в чистую среду, вот несколько основных советов по ужесточению шагов, которые следует учитывать. Обратите внимание, что, поскольку они значительно расширяют тему, я не могу здесь подробно разобраться, но настало время сделать некоторые упрощающие шаги для защиты вашей системы:
Включить брандмауэр и только разрешить доступ к портам, которые необходимо открыть. ufw существует просто, поэтому давайте использовать это. [F3]. (Конфигурирование ufw правильно для вашей среды - это другая история, и это выходит за рамки этого вопроса.) Ограничение доступа к удаленному SSH. Это не всегда выполнимо, но вы идеально определили бы IP-адреса, принадлежащие вам, и, в частности, их белый список в брандмауэре. (Если вы используете динамический IP-адрес дома, пропустите этот шаг). Блокируйте доступ SSH к вашему серверу и требуйте использовать ключи SSH только для аутентификации. Таким образом, хакеры не могут атаковать ваш сервер и пытаться просто угадать пароли. Намного сложнее догадаться о собственном личном ключе (потому что вы должны были бы наброситься на всех), и это помогает защитить от грубых атак. Если вы используете веб-сайт, обязательно заблокируйте разрешения, чтобы люди не могли загружать / выполнять вещи на досуге. Выполнение этого варьируется от сайта к сайту, поэтому я не могу дать вам больше указаний здесь (это невозможно сделать). Кроме того, если вы используете веб-сайт с помощью Joomla или Wordpress или таких, убедитесь, что вы постоянно обновляете среду и исправляете уязвимости безопасности у поставщиков программного обеспечения. По возможности, установите, настройте и используйте методы двухфакторной аутентификации (2FA) для вещей, с которыми вы аутентифицируете. Существует множество решений для аутентификации второго фактора для разных приложений, и таким образом защита различных приложений выходит за рамки этой статьи, поэтому вы должны сделать свое исследование по этому вопросу, прежде чем выберете решение. Если вы абсолютно должны использовать пароли в своей настройке, используйте достойный менеджер паролей (облачные - это не обязательно хорошие варианты) и используйте длинномерные (25 + символов), случайные, неподдающиеся памяти пароли, которые различаются для каждого отдельного элемента, который является защищенных паролями (отсюда рекомендация для менеджера паролей). (Тем не менее, вы должны настоятельно рассмотреть возможность использования паролей, где это возможно (например, для проверки подлинности SSH) и, если возможно, использовать 2FA).Если есть один бэкдор, еще 3. Изолируйте, резервные данные, удалите его и аккуратно восстановите данные. Будьте осторожны с любыми данными cron, php или даже mysql, все они могут быть скомпрометированы. Помните, что в этот момент у них есть все ваши пароли и хеши, поэтому, если вы схожим образом настроили другие машины, они, вероятно, тоже взломали их ... Трудная часть - это понять, как они вошли. Если у вас есть WordPress для поиска вредоносных программ в плагинах / темах и т. Д. Проверьте свои права, возможно, у вас есть 777. Нет простого ответа, вы смотрите на большую работу.
-
1Там не обязательно более одного, как бы часто это ни было, возможно, это может быть не так. И у них могут не быть всех их паролей. Не является также «вероятным». они взломали другие машины, вы не знаете их намерений и того, что было обнюхано, или если плохая программа была даже активирована, кроме присутствия или каким-то образом побежала. И "аккуратно восстанавливать данные" является очень общим советом для чего-то, что требует очень тщательных действий. – James 7 March 2018 в 03:46
Если есть один бэкдор, еще 3. Изолируйте, резервные данные, удалите его и аккуратно восстановите данные. Будьте осторожны с любыми данными cron, php или даже mysql, все они могут быть скомпрометированы. Помните, что в этот момент у них есть все ваши пароли и хеши, поэтому, если вы схожим образом настроили другие машины, они, вероятно, тоже взломали их ... Трудная часть - это понять, как они вошли. Если у вас есть WordPress для поиска вредоносных программ в плагинах / темах и т. Д. Проверьте свои права, возможно, у вас есть 777. Нет простого ответа, вы смотрите на большую работу.
Если есть один бэкдор, еще 3. Изолируйте, резервные данные, удалите его и аккуратно восстановите данные. Будьте осторожны с любыми данными cron, php или даже mysql, все они могут быть скомпрометированы. Помните, что в этот момент у них есть все ваши пароли и хеши, поэтому, если вы схожим образом настроили другие машины, они, вероятно, тоже взломали их ... Трудная часть - это понять, как они вошли. Если у вас есть WordPress для поиска вредоносных программ в плагинах / темах и т. Д. Проверьте свои права, возможно, у вас есть 777. Нет простого ответа, вы смотрите на большую работу.
-
1Там не обязательно более одного, как бы часто это ни было, возможно, это может быть не так. И у них могут не быть всех их паролей. Не является также «вероятным». они взломали другие машины, вы не знаете их намерений и того, что было обнюхано, или если плохая программа была даже активирована, кроме присутствия или каким-то образом побежала. И "аккуратно восстанавливать данные" является очень общим советом для чего-то, что требует очень тщательных действий. – James 7 March 2018 в 03:46