Как удалить взломанную учетную запись на сервере Ubuntu

Question 1

У моего сервера 2 аккаунта взломаны, и теперь, если я попытаюсь удалить их каким-либо образом, через 1 минуту они будут автоматически добавлены с наивысшим разрешением в

visudo NOPASSWORD=ALL

So как я могу узнать, как это сделать, и удалить их навсегда?

Question 2

Извините, но «Единственный правильный путь», чтобы идти, - это уничтожить машину с орбиты.

Если хакеру удалось проникнуть глубоко в вашу систему, вы никогда не узнаете, уничтожили ли вы все следы или у них еще есть еще один туз в рукаве, с помощью которого они могут восстановить доступ.

Вы должны попытаться выяснить, как они взломали систему на первом месте, так что вы можете исправить это отверстие безопасности позднее при новой установке, а затем полностью стереть всю систему и установить с нуля. Поэтому лучше всего закрыть сервер и загрузить систему, из которой вы можете клонировать все хранилище. Позже вы можете изучить это изображение в защищенной и заблокированной среде (нет доступа к Интернету или вашим бизнес-сетям и т. Д.).

Вы также должны резервировать только столько данных, сколько необходимо, но как мало насколько возможно, потому что каждый файл, который вы копируете, потенциально может быть заражен. Сравнение ваших текущих файлов данных с данными из старых резервных копий (у вас есть периодические резервные копии, правильно !?) может помочь решить, что вам нужно и что в хорошей форме.

Связанные вопросы на других сайтах Stack Exchange:

Как я могу работать с уязвимым сервером? Как вы объясняете необходимость «nuke it from orbit» для управления и пользователей?

Question 3

Question 4

Загрузите сеанс. НЕ используйте саму систему. Смонтируйте диски Войдите в сеанс терминала и сделайте sudo -i, чтобы перейти к подсказке. Сделайте поиск по / с 1 из имен этих учетных записей

grep -rnwl '/' -e "{name}"

, где {name} - это то, что вы хотите найти. r: рекурсивный w: соответствие целому слову l: показывать только имена файлов

Это займет некоторое время, в зависимости от размера диска, чтобы вы могли начать поиск / home / вместо всего диска 1st. Но я сомневаюсь, что это будет файл в / home /

Загрузите сеанс в реальном времени. НЕ используйте эту систему. Также перед этим вы также можете проверить /etc/profile, /etc/crontab, crontab -l для странных действий и в ваш / home файл .bashrc для любого действия, которого не должно быть

Посмотрите, сможете ли вы узнать, что происходит, чтобы вы могли принять меры предосторожности, чтобы этого не произошло еще раз. Лучше всего переустановить. Черт возьми, это единственный разумный вариант. Поместите свои личные файлы на USB. Обратите внимание на установленное программное обеспечение, обратите внимание на журналы маршрутизатора и скопируйте все файлы журналов из / var / log, чтобы вы могли проверить вторжения, когда вы снова очистили систему.

Тщательно восстановите свои файлы (убедитесь, что они такие, какими они должны быть, и не выполняйте их, пока вы не уверены).

Другое дело do: создайте резервную копию файла sudo, очистите его и используйте inotify, чтобы немедленно скопировать файл резервной копии поверх измененного. Это будет мешать всему, что они пытаются сделать с вашей системой.

Question 5

Извините, но «Единственный правильный путь», чтобы идти, - это уничтожить машину с орбиты.

Если хакеру удалось проникнуть глубоко в вашу систему, вы никогда не узнаете, уничтожили ли вы все следы или у них еще есть еще один туз в рукаве, с помощью которого они могут восстановить доступ.

Вы должны попытаться выяснить, как они взломали систему на первом месте, так что вы можете исправить это отверстие безопасности позднее при новой установке, а затем полностью стереть всю систему и установить с нуля. Поэтому лучше всего закрыть сервер и загрузить систему, из которой вы можете клонировать все хранилище. Позже вы можете изучить это изображение в защищенной и заблокированной среде (нет доступа к Интернету или вашим бизнес-сетям и т. Д.).

Вы также должны резервировать только столько данных, сколько необходимо, но как мало насколько возможно, потому что каждый файл, который вы копируете, потенциально может быть заражен. Сравнение ваших текущих файлов данных с данными из старых резервных копий (у вас есть периодические резервные копии, правильно !?) может помочь решить, что вам нужно и что в хорошей форме.

Связанные вопросы на других сайтах Stack Exchange:

Как я могу работать с уязвимым сервером? Как вы объясняете необходимость «nuke it from orbit» для управления и пользователей?

Question 6

Загрузите сеанс. НЕ используйте саму систему. Смонтируйте диски Войдите в сеанс терминала и сделайте sudo -i, чтобы перейти к подсказке. Сделайте поиск по / с 1 из имен этих учетных записей

grep -rnwl '/' -e "{name}"

, где {name} - это то, что вы хотите найти. r: рекурсивный w: соответствие целому слову l: показывать только имена файлов

Это займет некоторое время, в зависимости от размера диска, чтобы вы могли начать поиск / home / вместо всего диска 1st. Но я сомневаюсь, что это будет файл в / home /

Загрузите сеанс в реальном времени. НЕ используйте эту систему. Также перед этим вы также можете проверить /etc/profile, /etc/crontab, crontab -l для странных действий и в ваш / home файл .bashrc для любого действия, которого не должно быть

Посмотрите, сможете ли вы узнать, что происходит, чтобы вы могли принять меры предосторожности, чтобы этого не произошло еще раз. Лучше всего переустановить. Черт возьми, это единственный разумный вариант. Поместите свои личные файлы на USB. Обратите внимание на установленное программное обеспечение, обратите внимание на журналы маршрутизатора и скопируйте все файлы журналов из / var / log, чтобы вы могли проверить вторжения, когда вы снова очистили систему.

Тщательно восстановите свои файлы (убедитесь, что они такие, какими они должны быть, и не выполняйте их, пока вы не уверены).

Другое дело do: создайте резервную копию файла sudo, очистите его и используйте inotify, чтобы немедленно скопировать файл резервной копии поверх измененного. Это будет мешать всему, что они пытаются сделать с вашей системой.

Question 7

Question 8

Извините, но «Единственный правильный путь», чтобы идти, - это уничтожить машину с орбиты.

Если хакеру удалось проникнуть глубоко в вашу систему, вы никогда не узнаете, уничтожили ли вы все следы или у них еще есть еще один туз в рукаве, с помощью которого они могут восстановить доступ.

Вы должны попытаться выяснить, как они взломали систему на первом месте, так что вы можете исправить это отверстие безопасности позднее при новой установке, а затем полностью стереть всю систему и установить с нуля. Поэтому лучше всего закрыть сервер и загрузить систему, из которой вы можете клонировать все хранилище. Позже вы можете изучить это изображение в защищенной и заблокированной среде (нет доступа к Интернету или вашим бизнес-сетям и т. Д.).

Вы также должны резервировать только столько данных, сколько необходимо, но как мало насколько возможно, потому что каждый файл, который вы копируете, потенциально может быть заражен. Сравнение ваших текущих файлов данных с данными из старых резервных копий (у вас есть периодические резервные копии, правильно !?) может помочь решить, что вам нужно и что в хорошей форме.

Связанные вопросы на других сайтах Stack Exchange:

Как я могу работать с уязвимым сервером? Как вы объясняете необходимость «nuke it from orbit» для управления и пользователей?

Question 9

Загрузите сеанс. НЕ используйте саму систему. Смонтируйте диски Войдите в сеанс терминала и сделайте sudo -i, чтобы перейти к подсказке. Сделайте поиск по / с 1 из имен этих учетных записей

grep -rnwl '/' -e "{name}"

, где {name} - это то, что вы хотите найти. r: рекурсивный w: соответствие целому слову l: показывать только имена файлов

Это займет некоторое время, в зависимости от размера диска, чтобы вы могли начать поиск / home / вместо всего диска 1st. Но я сомневаюсь, что это будет файл в / home /

Загрузите сеанс в реальном времени. НЕ используйте эту систему. Также перед этим вы также можете проверить /etc/profile, /etc/crontab, crontab -l для странных действий и в ваш / home файл .bashrc для любого действия, которого не должно быть

Посмотрите, сможете ли вы узнать, что происходит, чтобы вы могли принять меры предосторожности, чтобы этого не произошло еще раз. Лучше всего переустановить. Черт возьми, это единственный разумный вариант. Поместите свои личные файлы на USB. Обратите внимание на установленное программное обеспечение, обратите внимание на журналы маршрутизатора и скопируйте все файлы журналов из / var / log, чтобы вы могли проверить вторжения, когда вы снова очистили систему.

Тщательно восстановите свои файлы (убедитесь, что они такие, какими они должны быть, и не выполняйте их, пока вы не уверены).

Другое дело do: создайте резервную копию файла sudo, очистите его и используйте inotify, чтобы немедленно скопировать файл резервной копии поверх измененного. Это будет мешать всему, что они пытаются сделать с вашей системой.

Question 10

Извините, но «Единственный правильный путь», чтобы идти, - это уничтожить машину с орбиты.

Если хакеру удалось проникнуть глубоко в вашу систему, вы никогда не узнаете, уничтожили ли вы все следы или у них еще есть еще один туз в рукаве, с помощью которого они могут восстановить доступ.

Вы должны попытаться выяснить, как они взломали систему на первом месте, так что вы можете исправить это отверстие безопасности позднее при новой установке, а затем полностью стереть всю систему и установить с нуля. Поэтому лучше всего закрыть сервер и загрузить систему, из которой вы можете клонировать все хранилище. Позже вы можете изучить это изображение в защищенной и заблокированной среде (нет доступа к Интернету или вашим бизнес-сетям и т. Д.).

Вы также должны резервировать только столько данных, сколько необходимо, но как мало насколько возможно, потому что каждый файл, который вы копируете, потенциально может быть заражен. Сравнение ваших текущих файлов данных с данными из старых резервных копий (у вас есть периодические резервные копии, правильно !?) может помочь решить, что вам нужно и что в хорошей форме.

Связанные вопросы на других сайтах Stack Exchange:

Как я могу работать с уязвимым сервером? Как вы объясняете необходимость «nuke it from orbit» для управления и пользователей?

Question 11

Загрузите сеанс. НЕ используйте саму систему. Смонтируйте диски Войдите в сеанс терминала и сделайте sudo -i, чтобы перейти к подсказке. Сделайте поиск по / с 1 из имен этих учетных записей

grep -rnwl '/' -e "{name}"

, где {name} - это то, что вы хотите найти. r: рекурсивный w: соответствие целому слову l: показывать только имена файлов

Это займет некоторое время, в зависимости от размера диска, чтобы вы могли начать поиск / home / вместо всего диска 1st. Но я сомневаюсь, что это будет файл в / home /

Загрузите сеанс в реальном времени. НЕ используйте эту систему. Также перед этим вы также можете проверить /etc/profile, /etc/crontab, crontab -l для странных действий и в ваш / home файл .bashrc для любого действия, которого не должно быть

Посмотрите, сможете ли вы узнать, что происходит, чтобы вы могли принять меры предосторожности, чтобы этого не произошло еще раз. Лучше всего переустановить. Черт возьми, это единственный разумный вариант. Поместите свои личные файлы на USB. Обратите внимание на установленное программное обеспечение, обратите внимание на журналы маршрутизатора и скопируйте все файлы журналов из / var / log, чтобы вы могли проверить вторжения, когда вы снова очистили систему.

Тщательно восстановите свои файлы (убедитесь, что они такие, какими они должны быть, и не выполняйте их, пока вы не уверены).

Другое дело do: создайте резервную копию файла sudo, очистите его и используйте inotify, чтобы немедленно скопировать файл резервной копии поверх измененного. Это будет мешать всему, что они пытаются сделать с вашей системой.

Byte Commander · Answer 1 · 18 July 2018 в 15:19

Извините, но «Единственный правильный путь», чтобы идти, - это уничтожить машину с орбиты.

Если хакеру удалось проникнуть глубоко в вашу систему, вы никогда не узнаете, уничтожили ли вы все следы или у них еще есть еще один туз в рукаве, с помощью которого они могут восстановить доступ.

Вы должны попытаться выяснить, как они взломали систему на первом месте, так что вы можете исправить это отверстие безопасности позднее при новой установке, а затем полностью стереть всю систему и установить с нуля. Поэтому лучше всего закрыть сервер и загрузить систему, из которой вы можете клонировать все хранилище. Позже вы можете изучить это изображение в защищенной и заблокированной среде (нет доступа к Интернету или вашим бизнес-сетям и т. Д.).

Вы также должны резервировать только столько данных, сколько необходимо, но как мало насколько возможно, потому что каждый файл, который вы копируете, потенциально может быть заражен. Сравнение ваших текущих файлов данных с данными из старых резервных копий (у вас есть периодические резервные копии, правильно !?) может помочь решить, что вам нужно и что в хорошей форме.

Связанные вопросы на других сайтах Stack Exchange:

Как я могу работать с уязвимым сервером? Как вы объясняете необходимость «nuke it from orbit» для управления и пользователей?

Rinzwind · Answer 2 · 18 July 2018 в 15:19

Загрузите сеанс. НЕ используйте саму систему. Смонтируйте диски Войдите в сеанс терминала и сделайте sudo -i, чтобы перейти к подсказке. Сделайте поиск по / с 1 из имен этих учетных записей

grep -rnwl '/' -e "{name}"

, где {name} - это то, что вы хотите найти. r: рекурсивный w: соответствие целому слову l: показывать только имена файлов

Это займет некоторое время, в зависимости от размера диска, чтобы вы могли начать поиск / home / вместо всего диска 1st. Но я сомневаюсь, что это будет файл в / home /

Загрузите сеанс в реальном времени. НЕ используйте эту систему. Также перед этим вы также можете проверить /etc/profile, /etc/crontab, crontab -l для странных действий и в ваш / home файл .bashrc для любого действия, которого не должно быть

Посмотрите, сможете ли вы узнать, что происходит, чтобы вы могли принять меры предосторожности, чтобы этого не произошло еще раз. Лучше всего переустановить. Черт возьми, это единственный разумный вариант. Поместите свои личные файлы на USB. Обратите внимание на установленное программное обеспечение, обратите внимание на журналы маршрутизатора и скопируйте все файлы журналов из / var / log, чтобы вы могли проверить вторжения, когда вы снова очистили систему.

Тщательно восстановите свои файлы (убедитесь, что они такие, какими они должны быть, и не выполняйте их, пока вы не уверены).

Другое дело do: создайте резервную копию файла sudo, очистите его и используйте inotify, чтобы немедленно скопировать файл резервной копии поверх измененного. Это будет мешать всему, что они пытаются сделать с вашей системой.

Byte Commander · Answer 3 · 24 July 2018 в 20:37

Извините, но «Единственный правильный путь», чтобы идти, - это уничтожить машину с орбиты.

Если хакеру удалось проникнуть глубоко в вашу систему, вы никогда не узнаете, уничтожили ли вы все следы или у них еще есть еще один туз в рукаве, с помощью которого они могут восстановить доступ.

Вы должны попытаться выяснить, как они взломали систему на первом месте, так что вы можете исправить это отверстие безопасности позднее при новой установке, а затем полностью стереть всю систему и установить с нуля. Поэтому лучше всего закрыть сервер и загрузить систему, из которой вы можете клонировать все хранилище. Позже вы можете изучить это изображение в защищенной и заблокированной среде (нет доступа к Интернету или вашим бизнес-сетям и т. Д.).

Вы также должны резервировать только столько данных, сколько необходимо, но как мало насколько возможно, потому что каждый файл, который вы копируете, потенциально может быть заражен. Сравнение ваших текущих файлов данных с данными из старых резервных копий (у вас есть периодические резервные копии, правильно !?) может помочь решить, что вам нужно и что в хорошей форме.

Связанные вопросы на других сайтах Stack Exchange:

Как я могу работать с уязвимым сервером? Как вы объясняете необходимость «nuke it from orbit» для управления и пользователей?

Как профессионал в области ИТ-безопасности, это проверенный и надежный механизм реагирования на системное нарушение. Взломанные аккаунты в стороне, вы не знаете, что они сделали внутри взломанной учетной записи или системы. Единственный истинный путь - это ядерный ядер с орбиты. — Thomas Ward♦, 8 April 2017 в 19:51
& Quot; потому что каждый файл, который вы копируете, потенциально может быть заражен. & Quot; Это просто не соответствует действительности. Объясните, пожалуйста, как /var/log/boot.log или как /var/log/auth.log можно заразить ?! — Rinzwind, 8 April 2017 в 20:14
@Rinzwind "каждый файл" может быть упрощением, но есть способы внедрить плохие вещи в большинство типов файлов, которые читаются любым приложением. Файлы журналов должны быть безопасными, поскольку они просто отображаются в виде обычного текста и не анализируются, но то, что я на самом деле имел в виду, - это больше о фактических пользовательских данных, таких как документы, базы данных, изображения и т. Д. — Byte Commander, 8 April 2017 в 21:32

Rinzwind · Answer 4 · 24 July 2018 в 20:37

Загрузите сеанс. НЕ используйте саму систему. Смонтируйте диски Войдите в сеанс терминала и сделайте sudo -i, чтобы перейти к подсказке. Сделайте поиск по / с 1 из имен этих учетных записей

grep -rnwl '/' -e "{name}"

, где {name} - это то, что вы хотите найти. r: рекурсивный w: соответствие целому слову l: показывать только имена файлов

Это займет некоторое время, в зависимости от размера диска, чтобы вы могли начать поиск / home / вместо всего диска 1st. Но я сомневаюсь, что это будет файл в / home /

Загрузите сеанс в реальном времени. НЕ используйте эту систему. Также перед этим вы также можете проверить /etc/profile, /etc/crontab, crontab -l для странных действий и в ваш / home файл .bashrc для любого действия, которого не должно быть

Посмотрите, сможете ли вы узнать, что происходит, чтобы вы могли принять меры предосторожности, чтобы этого не произошло еще раз. Лучше всего переустановить. Черт возьми, это единственный разумный вариант. Поместите свои личные файлы на USB. Обратите внимание на установленное программное обеспечение, обратите внимание на журналы маршрутизатора и скопируйте все файлы журналов из / var / log, чтобы вы могли проверить вторжения, когда вы снова очистили систему.

Тщательно восстановите свои файлы (убедитесь, что они такие, какими они должны быть, и не выполняйте их, пока вы не уверены).

Другое дело do: создайте резервную копию файла sudo, очистите его и используйте inotify, чтобы немедленно скопировать файл резервной копии поверх измененного. Это будет мешать всему, что они пытаются сделать с вашей системой.

Для downvoter; пожалуйста, внимательно подумайте, почему вы отказались. Только дебил переустановит, не исследуя проблему. — Rinzwind, 8 April 2017 в 19:52
После нарушения безопасности единственный проверенный и надежный подход - это nuke-and-restart. Тем не менее, полный образ диска сервера, где это возможно, чтобы они могли вернуться позже в несетевой среде и изучить, что было сделано в системе, никогда не бывает плохой идеей, однако они все равно должны заряжаться и перезагружаться. Это типичный подход. (Если владелец сервера или системы выбирает не , перейдите в криминалистический подход и просто nuke и перезапустите, это их выбор, и они узнают, что в следующий раз, когда они будут нарушены, чтобы начать изучать, как они были нарушены.) — Thomas Ward♦, 8 April 2017 в 19:52
Если бы я был хакером и имел возможность глубоко проникнуть в систему, я сомневаюсь, что я бы использовал простой скрипт cleartext для воссоздания моей учетной записи. — Byte Commander, 8 April 2017 в 19:53
@ThomasWard уверен, но переустановка не должна быть первым действием. Первое действие - расследование. Затем переустановите. Что делать, если это не внешняя, а внутренняя работа. переустановка удалит все доказательства. — Rinzwind, 8 April 2017 в 19:54
@Rinzwind Возможно, вам и мне следует продолжить эту дискуссию в чате, хотя я согласен с тем, что первым шагом является исследование, это в теории. Исследование взломанного сервера live - это ИТ-безопасность «нет нет». Судебно-медицинская копия существующей системы, а затем запустит сервер и вернет его в «статус готовности производства», а затем рассмотрит, что фактический подход, применяемый к нарушенным системам, во многих случаях (включая судебные расследования правоохранительными органами США) — Thomas Ward♦, 8 April 2017 в 19:59

Byte Commander · Answer 5 · 31 July 2018 в 13:08

Извините, но «Единственный правильный путь», чтобы идти, - это уничтожить машину с орбиты.

Если хакеру удалось проникнуть глубоко в вашу систему, вы никогда не узнаете, уничтожили ли вы все следы или у них еще есть еще один туз в рукаве, с помощью которого они могут восстановить доступ.

Вы должны попытаться выяснить, как они взломали систему на первом месте, так что вы можете исправить это отверстие безопасности позднее при новой установке, а затем полностью стереть всю систему и установить с нуля. Поэтому лучше всего закрыть сервер и загрузить систему, из которой вы можете клонировать все хранилище. Позже вы можете изучить это изображение в защищенной и заблокированной среде (нет доступа к Интернету или вашим бизнес-сетям и т. Д.).

Вы также должны резервировать только столько данных, сколько необходимо, но как мало насколько возможно, потому что каждый файл, который вы копируете, потенциально может быть заражен. Сравнение ваших текущих файлов данных с данными из старых резервных копий (у вас есть периодические резервные копии, правильно !?) может помочь решить, что вам нужно и что в хорошей форме.

Связанные вопросы на других сайтах Stack Exchange:

Как я могу работать с уязвимым сервером? Как вы объясняете необходимость «nuke it from orbit» для управления и пользователей?

Как профессионал в области ИТ-безопасности, это проверенный и надежный механизм реагирования на системное нарушение. Взломанные аккаунты в стороне, вы не знаете, что они сделали внутри взломанной учетной записи или системы. Единственный истинный путь - это ядерный ядер с орбиты. — Thomas Ward♦, 8 April 2017 в 19:51
& Quot; потому что каждый файл, который вы копируете, потенциально может быть заражен. & Quot; Это просто не соответствует действительности. Объясните, пожалуйста, как /var/log/boot.log или как /var/log/auth.log можно заразить ?! — Rinzwind, 8 April 2017 в 20:14
@Rinzwind "каждый файл" может быть упрощением, но есть способы внедрить плохие вещи в большинство типов файлов, которые читаются любым приложением. Файлы журналов должны быть безопасными, поскольку они просто отображаются в виде обычного текста и не анализируются, но то, что я на самом деле имел в виду, - это больше о фактических пользовательских данных, таких как документы, базы данных, изображения и т. Д. — Byte Commander, 8 April 2017 в 21:32

Rinzwind · Answer 6 · 31 July 2018 в 13:08

Загрузите сеанс. НЕ используйте саму систему. Смонтируйте диски Войдите в сеанс терминала и сделайте sudo -i, чтобы перейти к подсказке. Сделайте поиск по / с 1 из имен этих учетных записей

grep -rnwl '/' -e "{name}"

, где {name} - это то, что вы хотите найти. r: рекурсивный w: соответствие целому слову l: показывать только имена файлов

Это займет некоторое время, в зависимости от размера диска, чтобы вы могли начать поиск / home / вместо всего диска 1st. Но я сомневаюсь, что это будет файл в / home /

Загрузите сеанс в реальном времени. НЕ используйте эту систему. Также перед этим вы также можете проверить /etc/profile, /etc/crontab, crontab -l для странных действий и в ваш / home файл .bashrc для любого действия, которого не должно быть

Посмотрите, сможете ли вы узнать, что происходит, чтобы вы могли принять меры предосторожности, чтобы этого не произошло еще раз. Лучше всего переустановить. Черт возьми, это единственный разумный вариант. Поместите свои личные файлы на USB. Обратите внимание на установленное программное обеспечение, обратите внимание на журналы маршрутизатора и скопируйте все файлы журналов из / var / log, чтобы вы могли проверить вторжения, когда вы снова очистили систему.

Тщательно восстановите свои файлы (убедитесь, что они такие, какими они должны быть, и не выполняйте их, пока вы не уверены).

Другое дело do: создайте резервную копию файла sudo, очистите его и используйте inotify, чтобы немедленно скопировать файл резервной копии поверх измененного. Это будет мешать всему, что они пытаются сделать с вашей системой.

Для downvoter; пожалуйста, внимательно подумайте, почему вы отказались. Только дебил переустановит, не исследуя проблему. — Rinzwind, 8 April 2017 в 19:52
После нарушения безопасности единственный проверенный и надежный подход - это nuke-and-restart. Тем не менее, полный образ диска сервера, где это возможно, чтобы они могли вернуться позже в несетевой среде и изучить, что было сделано в системе, никогда не бывает плохой идеей, однако они все равно должны заряжаться и перезагружаться. Это типичный подход. (Если владелец сервера или системы выбирает не , перейдите в криминалистический подход и просто nuke и перезапустите, это их выбор, и они узнают, что в следующий раз, когда они будут нарушены, чтобы начать изучать, как они были нарушены.) — Thomas Ward♦, 8 April 2017 в 19:52
Если бы я был хакером и имел возможность глубоко проникнуть в систему, я сомневаюсь, что я бы использовал простой скрипт cleartext для воссоздания моей учетной записи. — Byte Commander, 8 April 2017 в 19:53
@ThomasWard уверен, но переустановка не должна быть первым действием. Первое действие - расследование. Затем переустановите. Что делать, если это не внешняя, а внутренняя работа. переустановка удалит все доказательства. — Rinzwind, 8 April 2017 в 19:54
@Rinzwind Возможно, вам и мне следует продолжить эту дискуссию в чате, хотя я согласен с тем, что первым шагом является исследование, это в теории. Исследование взломанного сервера live - это ИТ-безопасность «нет нет». Судебно-медицинская копия существующей системы, а затем запустит сервер и вернет его в «статус готовности производства», а затем рассмотрит, что фактический подход, применяемый к нарушенным системам, во многих случаях (включая судебные расследования правоохранительными органами США) — Thomas Ward♦, 8 April 2017 в 19:59

Byte Commander · Answer 7 · 31 July 2018 в 23:38

Извините, но «Единственный правильный путь», чтобы идти, - это уничтожить машину с орбиты.

Если хакеру удалось проникнуть глубоко в вашу систему, вы никогда не узнаете, уничтожили ли вы все следы или у них еще есть еще один туз в рукаве, с помощью которого они могут восстановить доступ.

Вы должны попытаться выяснить, как они взломали систему на первом месте, так что вы можете исправить это отверстие безопасности позднее при новой установке, а затем полностью стереть всю систему и установить с нуля. Поэтому лучше всего закрыть сервер и загрузить систему, из которой вы можете клонировать все хранилище. Позже вы можете изучить это изображение в защищенной и заблокированной среде (нет доступа к Интернету или вашим бизнес-сетям и т. Д.).

Вы также должны резервировать только столько данных, сколько необходимо, но как мало насколько возможно, потому что каждый файл, который вы копируете, потенциально может быть заражен. Сравнение ваших текущих файлов данных с данными из старых резервных копий (у вас есть периодические резервные копии, правильно !?) может помочь решить, что вам нужно и что в хорошей форме.

Связанные вопросы на других сайтах Stack Exchange:

Как я могу работать с уязвимым сервером? Как вы объясняете необходимость «nuke it from orbit» для управления и пользователей?

Как профессионал в области ИТ-безопасности, это проверенный и надежный механизм реагирования на системное нарушение. Взломанные аккаунты в стороне, вы не знаете, что они сделали внутри взломанной учетной записи или системы. Единственный истинный путь - это ядерный ядер с орбиты. — Thomas Ward♦, 8 April 2017 в 19:51
& Quot; потому что каждый файл, который вы копируете, потенциально может быть заражен. & Quot; Это просто не соответствует действительности. Объясните, пожалуйста, как /var/log/boot.log или как /var/log/auth.log можно заразить ?! — Rinzwind, 8 April 2017 в 20:14
@Rinzwind "каждый файл" может быть упрощением, но есть способы внедрить плохие вещи в большинство типов файлов, которые читаются любым приложением. Файлы журналов должны быть безопасными, поскольку они просто отображаются в виде обычного текста и не анализируются, но то, что я на самом деле имел в виду, - это больше о фактических пользовательских данных, таких как документы, базы данных, изображения и т. Д. — Byte Commander, 8 April 2017 в 21:32

Rinzwind · Answer 8 · 31 July 2018 в 23:38

Загрузите сеанс. НЕ используйте саму систему. Смонтируйте диски Войдите в сеанс терминала и сделайте sudo -i, чтобы перейти к подсказке. Сделайте поиск по / с 1 из имен этих учетных записей

grep -rnwl '/' -e "{name}"

, где {name} - это то, что вы хотите найти. r: рекурсивный w: соответствие целому слову l: показывать только имена файлов

Это займет некоторое время, в зависимости от размера диска, чтобы вы могли начать поиск / home / вместо всего диска 1st. Но я сомневаюсь, что это будет файл в / home /

Загрузите сеанс в реальном времени. НЕ используйте эту систему. Также перед этим вы также можете проверить /etc/profile, /etc/crontab, crontab -l для странных действий и в ваш / home файл .bashrc для любого действия, которого не должно быть

Посмотрите, сможете ли вы узнать, что происходит, чтобы вы могли принять меры предосторожности, чтобы этого не произошло еще раз. Лучше всего переустановить. Черт возьми, это единственный разумный вариант. Поместите свои личные файлы на USB. Обратите внимание на установленное программное обеспечение, обратите внимание на журналы маршрутизатора и скопируйте все файлы журналов из / var / log, чтобы вы могли проверить вторжения, когда вы снова очистили систему.

Тщательно восстановите свои файлы (убедитесь, что они такие, какими они должны быть, и не выполняйте их, пока вы не уверены).

Другое дело do: создайте резервную копию файла sudo, очистите его и используйте inotify, чтобы немедленно скопировать файл резервной копии поверх измененного. Это будет мешать всему, что они пытаются сделать с вашей системой.

Для downvoter; пожалуйста, внимательно подумайте, почему вы отказались. Только дебил переустановит, не исследуя проблему. — Rinzwind, 8 April 2017 в 19:52
После нарушения безопасности единственный проверенный и надежный подход - это nuke-and-restart. Тем не менее, полный образ диска сервера, где это возможно, чтобы они могли вернуться позже в несетевой среде и изучить, что было сделано в системе, никогда не бывает плохой идеей, однако они все равно должны заряжаться и перезагружаться. Это типичный подход. (Если владелец сервера или системы выбирает не , перейдите в криминалистический подход и просто nuke и перезапустите, это их выбор, и они узнают, что в следующий раз, когда они будут нарушены, чтобы начать изучать, как они были нарушены.) — Thomas Ward♦, 8 April 2017 в 19:52
Если бы я был хакером и имел возможность глубоко проникнуть в систему, я сомневаюсь, что я бы использовал простой скрипт cleartext для воссоздания моей учетной записи. — Byte Commander, 8 April 2017 в 19:53
@ThomasWard уверен, но переустановка не должна быть первым действием. Первое действие - расследование. Затем переустановите. Что делать, если это не внешняя, а внутренняя работа. переустановка удалит все доказательства. — Rinzwind, 8 April 2017 в 19:54
@Rinzwind Возможно, вам и мне следует продолжить эту дискуссию в чате, хотя я согласен с тем, что первым шагом является исследование, это в теории. Исследование взломанного сервера live - это ИТ-безопасность «нет нет». Судебно-медицинская копия существующей системы, а затем запустит сервер и вернет его в «статус готовности производства», а затем рассмотрит, что фактический подход, применяемый к нарушенным системам, во многих случаях (включая судебные расследования правоохранительными органами США) — Thomas Ward♦, 8 April 2017 в 19:59

Как удалить взломанную учетную запись на сервере Ubuntu

8 ответов

Другие вопросы по тегам:

Похожие вопросы: