Мой сервер имеет 2 учетных записи, взламываются и теперь если я буду судить к удаленному их каким-либо путем после той 1 минуты, то они будут повторно добавлены автоматически с самым высоким разрешением в
visudo NOPASSWORD=ALL
Таким образом, как я могу узнать, что корневой код делает это и удаляет их навсегда?
sudo -i
для получения до подсказки , Переделывают поиск / с 1 из названий тех учетных записей
grep -rnwl '/' -e "{name}"
, где {имя} - то, что Вы хотите найти.
, Это будет требовать времени в зависимости от размера диска, таким образом, Вы могли начать искать/home/вместо целого 1-го диска. Но я сомневаюсь, что это будет файл в / домой /
passwd {accountname}
. /etc/profile
, /etc/crontab
, crontab -l
для странных действий и в / размещают файл .bashrc
для любого действия, которое не должно быть там , Видят, можно ли узнать то, что происходит так, можно принять меры предосторожности так, этого не может произойти снова. Лучше переустанавливать все же. Heck это - единственная нормальная опция , Помещают Ваши персональные файлы на USB. Сделайте примечание к программному обеспечению, которое Вы установили, сделайте примечание к журналам маршрутизатора и скопируйте все файлы журналов с/var/log, таким образом, можно проверить на проникновения, когда Вы получили свою систему, чистую снова.
Тщательно восстанавливают Ваши файлы (удостоверьтесь, что они - то, что они должны быть и не выполняют ни одного из них, прежде чем Вы будете уверены).
<час>Другая вещь сделать: создайте резервное копирование sudo файла, уберите его и используйте inotify для непосредственного копирования файла резервной копии по измененному. Это будет препятствовать тому, что они пытаются сделать с Вашей системой.
К сожалению, но Единственный Правильный Way™ для движения должен уничтожить машину с орбиты.
Если хакеру удалось получить это глубоко в Вашу систему, Вы никогда не можете знать, вытерли ли Вы все трассировки или получили ли они все еще другой туз рукав, с которым они могут возвратить доступ.
Необходимо попытаться заняться расследованиями, как они взломали систему в первом месте, так, чтобы можно было исправить ту дыру в системе безопасности позже новая установка и затем полностью стереть целую систему и установку с нуля. Поэтому это - лучшая идея завершить работу сервера и загрузить живую систему, от которой можно клонировать все устройство хранения данных. Позже можно затем исследовать то изображение в защищенном и заблокированном вниз среда (никакой доступ к Интернету или бизнес-сетям, и т.д.).
Необходимо также создать резервную копию только такого же количества данных по мере необходимости, но как можно меньше, потому что каждый файл Вы копируете, могло потенциально быть заражено. Сравнение текущих файлов данных с теми, которые от более старых резервных копий (у Вас действительно есть периодические резервные копии, право!?) мог бы помочь решить то, в чем Вы нуждаетесь и что в хорошем состоянии.
Связанные вопросы на других сайтах Exchange Стека: