10 votos

¿Cómo puedo determinar si mi caja de Linux ha sido infiltrada?

Recientemente he leído un artículo sobre el análisis malicioso SSH intentos de inicio de sesión. Esto me puso a pensar, son el SSH nombre de usuario, contraseña combinaciones en mi Debian cuadro que raro? Había sido atacado por una fuerza bruta, ataque de diccionario? Echemos un vistazo a /var/log/auth.registro.0:

Sep 23 07:42:04 SLUG sshd[8303]: Invalid user tyjuan from 210.168.200.190
Sep 23 07:42:09 SLUG sshd[8305]: Invalid user tykeedra from 210.168.200.190
Sep 23 07:42:14 SLUG sshd[8307]: Invalid user tykeem from 210.168.200.190
Sep 23 07:42:19 SLUG sshd[8309]: Invalid user tykeshia from 210.168.200.190
Sep 23 07:42:25 SLUG sshd[8311]: Invalid user tyla from 210.168.200.190
Sep 23 07:42:30 SLUG sshd[8313]: Invalid user tylan from 210.168.200.190
Sep 23 07:42:35 SLUG sshd[8315]: Invalid user tylar from 210.168.200.190
Sep 23 07:42:40 SLUG sshd[8317]: Invalid user tyler from 210.168.200.190
Sep 23 07:42:45 SLUG sshd[8319]: Invalid user tylerfrank from 210.168.200.190
Sep 23 07:42:50 SLUG sshd[8321]: Invalid user tyliah from 210.168.200.190
Sep 23 07:42:55 SLUG sshd[8323]: Invalid user tylor from 210.168.200.190

Por lo que no se ve bien. Ahora que sé que ha sido víctima de un ataque y que algunos de mi nombre de usuario, contraseña combinaciones son débiles, me gustaría saber cómo puedo...

  • ... determinar si mi Linux ha sido infiltrado?
  • ... deshacer cualquiera de los daños ocasionados por los autores?
  • ... evitar que esto suceda en el futuro?

ACTUALIZACIÓN

Cualquier consejo sobre deshacer cualquiera de los daños ocasionados por los autores?

15voto

Dan Udey Puntos 1216

Muchas personas parecen sugerir DenyHosts, pero he visto un montón de éxito con Fail2Ban en mis sistemas. Mira para un (configurable) número de errores y, a continuación, realiza una acción - en mis servidores, que la acción es el uso de iptables para soltar todo el tráfico desde el host. Después de 10 errores de inicio de sesión, baneado y ese es el final de la misma.

Yo uso que en combinación con Logcheck, para que siempre sepa lo que está pasando en mis servidores.

Si usted tiene alguna evidencia de que alguien realmente ha roto en sus sistemas (los registros que se han publicado no son evidencia de esto), entonces la única solución es hacer una copia de seguridad de todos los datos que necesita para mantener, limpiar la máquina, vuelva a instalar, y restauración de copias de seguridad. De lo contrario, no hay manera de estar seguro.

10voto

Daniel Papasian Puntos 266

Válido intentos de inicio de sesión se registran en el, así que si usted ve un intento violento seguido de un éxito, eso es una buena indicación de que algo malo ha sucedido.

Yo uso DenyHosts para supervisar los registros de mi sospechosos tráfico SSH, y lo tengo configurado para que automáticamente el firewall desactivado aloja en un punto determinado.

Tenga en cuenta que hay una variedad de otras maneras que usted quiere controlar su máquina para ver si es comprometida, incluyendo los patrones de carga, actividad de inicio de sesión, periódico el tráfico de oler, de supervisión de la ejecución de los procesos y los puertos abiertos, y garantizar la integridad de los archivos con una herramienta como tripwire.

Si usted sólo va a hacer uno, sistema de monitoreo de carga es una manera muy eficaz de detección de compromiso, porque la mayoría de las máquinas cuando se ve comprometida se utilizan para hacer cosas como enviar cantidades masivas de spam o de lo contrario recibirá una gran cantidad de tráfico. Tal vez no es útil si usted es un objetivo de gran valor y que la gente puede estar tratando específicamente romper en que por razones que no sean a su vez de su anfitrión en un zombi, pero valiosa, no obstante. Además de la supervisión de carga es necesaria para la generación de perfiles y averiguar cuando es necesario invertir en más hardware o software mejor.

Usted también debe hacer integral de análisis de registro, mirando auth.registro y a los demás por las cosas que son inesperados. Análisis del archivo de registro es un mercado competitivo y el problema aún no está resuelto, pero existen herramientas gratuitas como logwatch que puede ser configurado para enviar los resúmenes diarios.

Seguridad a través de las capas!

4voto

gbjbaanb Puntos 3338

Olvidar Tripwire, es bastante caro. El uso de AYUDANTE en su lugar. Es gratis, fácil de configurar (aunque toma un poco de tiempo para decidir qué temp directorios a excluir, y configurar).

se ejecuta, se construye una base de datos de todos los archivos. Ejecute de nuevo y te dirá qué archivos han cambiado.

Otra cosa que hay que hacer es instalar CSF, que tiene un denyhost tipo de bloqueador de elementos, como las personas fracasan repetidamente para inicio de sesión, los añadiremos a las reglas del firewall. Usted también puede requerir que los inicios de sesión SSH para tener una clave pública así, el script kiddies puede intentar como muchos de los inicios de sesión, como les gusta entonces.

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by: