Come rimuovere l'account compromesso sul server Ubuntu

4

Il mio server ha 2 account compromessi e ora se provo a rimuoverli in qualsiasi modo, dopo questo 1 minuto, saranno riaggiunti automaticamente con la massima autorizzazione in

visudo NOPASSWORD=ALL

Quindi, come posso scoprire il codice root e rimuoverlo per sempre?

    
posta user3160078 08.04.2017 - 18:29

2 risposte

1

Mi spiace dirlo, ma L'unico modo giusto per andare è nuke la macchina dall'orbita .

Se un hacker è riuscito a penetrare così profondamente nel tuo sistema, non puoi mai sapere se hai cancellato tutte le tracce o se hanno ancora un altro asso nella manica con cui possono riacquisire l'accesso.

Dovresti provare a indagare su come hanno hackerato il sistema al primo posto, in modo che tu possa correggere quel buco di sicurezza in seguito sulla tua nuova installazione, e quindi cancellare completamente l'intero sistema e installare da zero. Pertanto è consigliabile spegnere il server e avviare un sistema live dal quale è possibile clonare l'intero spazio di archiviazione. Successivamente è possibile esaminare l'immagine in un ambiente protetto e bloccato (nessun accesso a Internet o alle reti aziendali, ecc.)

Dovresti anche eseguire il backup solo di tutti i dati necessari, ma il meno possibile, perché ogni file che copi potrebbe essere potenzialmente infetto. Confrontando i tuoi file di dati attuali con quelli di backup precedenti (hai backup periodici, giusto !?) potresti aiutare a decidere cosa ti serve e cosa è in buono stato.

Domande correlate su altri siti Stack Exchange:

risposta data Byte Commander 08.04.2017 - 18:46
-1
  • Avvia una sessione live. NON usare il sistema stesso.
  • Monta i dischi
  • Accedi a una sessione di terminale e fai sudo -i per arrivare a un prompt
  • Effettua una ricerca su / con 1 dei nomi di tali account

    grep -rnwl '/' -e "{name}"
    

    dove {name} è ciò che vuoi trovare.

    • r: ricorsiva
    • w: corrisponde alla parola intera
    • l: mostra solo i nomi dei file

Ci vorrà un po 'di tempo a seconda della dimensione del disco in modo da poter iniziare a cercare / home / invece dell'intero disco 1a. Ma dubito che sarà un file in / home /

  • mentre ci sei: modifica la password dell'amministratore con passwd {accountname} .
  • Anche prima di fare ciò puoi anche controllare /etc/profile , /etc/crontab , crontab -l per azioni strane e nel tuo / home il file .bashrc per qualsiasi azione che non dovrebbe essere lì

Vedi se riesci a scoprire cosa sta succedendo in modo da poter prendere precauzioni in modo che non possa accadere di nuovo. È meglio reinstallare però. Diamine è l'unica opzione sensata Metti i tuoi file personali su una USB. Prendi nota del software che hai installato, prendi nota dei log del router e copia tutti i file dei registri da / var / log in modo da poter verificare le intrusioni quando il tuo sistema sarà nuovamente pulito.

Ripristina attentamente i tuoi file (assicurati che siano come dovrebbero essere e non eseguirli nessuno prima che tu ne sia sicuro).

Un'altra cosa da fare: creare un backup del file sudo, pulirlo e usare inotify per copiare immediatamente un file di backup su quello modificato. Ciò ostacolerà qualsiasi cosa provino a fare con il tuo sistema.

    
risposta data Rinzwind 08.04.2017 - 18:42

Leggi altre domande sui tag