În calitate de expert în securitate IT, răspunsul adecvat la orice risc de securitate al unei mașini compromise este: Dezactivați sistemul (sistemele) afectat(e) (închideți-le complet sau deconectați-le imediat de la rețea și izolați-le dacă intenționați să disecați sistemul și breșa) și aruncați-l de pe orbită pentru a-l curăța. Nuke it clean, restaurați lucrurile importante de la backup-uri curate la o nouă reinstalare a sistemului de operare care este curat.
Odată ce ați terminat, trebuie să vă asigurați că toate aplicațiile pe care le aveți pe acest sistem trebuie să fie întărite și blocate. Este probabil că, dacă rulați o aplicație web precum Wordpress sau așa ceva, trebuie să o păstrați în mod regulat corectat tot timpul. Adăugarea unui fail2ban soluție pentru sistemul dvs. și activarea acesteia pentru diverse aplicații vă va ajuta, astfel încât, atunci când lucrurile se declanșează, acestea să fie blocate la firewall pentru o perioadă de timp din cauza încercărilor de atac în curs.
(Întărirea corectă a sistemului și a aplicațiilor este un lucru foarte LARG, care este prea mare pentru această postare unică și este întotdeauna o analiză de la caz la caz/baza de analiză a riscului/recompensei costurilor, așa că nu vă putem oferi cu adevărat cea mai bună modalitate pentru a întări totul în mod corespunzător.)
daca tu într-adevăr vreau să disec ceea ce se întâmplă, instalează net-instrumente pe aparatul afectat, apoi deconectați-l de la rețea.
sudo apt install net-tools
Odată ce ai terminat, fugi sudo netstat -atupen și căutați orice conexiuni care ies la portul 22 de pe sistemul dvs. și vedeți ce proces declanșează conexiunile portului 22 de ieșire. Fii atent și la asta și rulează-l de mai multe ori dacă trebuie să te asiguri că apare, deoarece fără rețea, probabil că va încerca să eșueze instantaneu, așa că poate fi necesară rularea de câteva ori.
In orice caz, este mai bine să ștergeți totul din sistem și să reconstruiți de la zero și păstrați copii de siguranță mai bune ale informațiilor dvs. care NU vor fi infestate de malware.
De asemenea, dacă nu știți ce faceți, nu ar trebui să găzduiți un server etc. în propria rețea din cauza acestor tipuri de probleme - propriile sisteme pot fi afectate dacă chiar și un sistem din rețeaua dvs. de domiciliu este spart.
Pentru a pune ultimul meu fragment acolo în perspectivă:
Chiar și cu experiența mea, toate serverele din rețeaua mea care rulează Internet sunt întărite împotriva celorlalte servere, iar rețeaua mea fiind construită ca o rețea de tip Enterprise completă cu firewall gestionat, comutatoare gestionate etc. înseamnă că Internetul meu serverele care se confruntă sunt izolate în DMZ-urile respective și nu pot ajunge la restul rețelei mele unde sunt prezente mai multe date critice. Izolarea și consolidarea rețelei de această amploare necesită mult mai mult decât ceea ce veți obține la nivelurile de echipamente „rezidențiale” și „consumator” pe care le puteți obține, necesită mult timp suplimentar, efort și cunoștințe pentru a izola cu adevărat internetul. sisteme pentru a preveni încălcări mai mari, precum și pentru a obține înregistrarea fluxului net pentru diferite comportamente de rețea, precum și filtrarea pe listele de informații active pentru a bloca relele cunoscute. Nu este pentru cei slabi de inimă și necesită mult efort pentru a-l menține și operațional.
Două dintre serverele mele pe care le rulez în DMZ-urile mele pentru clienți au apărut recent din cauza instanțelor Wordpress corectate incorect. Din fericire, păstrez copii de rezervă pentru ele, așa că am demontat instanțele încălcate, restaurate din backup-uri curate, iar apoi am petrecut imediat șase ore pe fiecare mașină, corecându-le și reîntărindu-le. O singură instanță Wordpress nepatchată pe fiecare dintre aceste servere a dus la încălcarea acelor servere și la încercarea de a distribui programe malware, pe care IDS/IPS-ul meu l-a detectat - din nou, aceasta este o configurație de rețea de nivel Enterprise, așa că am timpul, infrastructura și banii de pus în ea toate protecțiile. Nu veți avea acest lucru în configurația medie a serverului sau a rețelei rezidențiale.
