Как мне узнать, как хакер получил доступ к моей машине? [дубликат]
У меня есть выделенная машина, и сегодня я получил письмо от моего хоста, в котором говорилось, что мой сервер будет заблокирован, если я не перестану злоупотреблять сетью. Я не спамер и не хакер. Кто-то использовал мою машину, чтобы причинить вред. Они приложили к электронному письму записку, в которой говорилось о следующем.
##########################################################################
# Netscan detected from host 178.63.xxx.xxx #
##########################################################################
time protocol src_ip src_port dest_ip dest_port
---------------------------------------------------------------------------
Sat Oct 4 11:24:09 2014 TCP 178.63.xxx.xxx 26217 => 94.xxx.xxx.0 22
Sat Oct 4 11:24:09 2014 TCP 178.63.xxx.xxx 26217 => 94.xxx.xxx.4 22
Sat Oct 4 11:24:09 2014 TCP 178.63.xxx.xxx 26217 => 94.xxx.xxx.41 22
Sat Oct 4 11:24:09 2014 TCP 178.63.xxx.xxx 26217 => 94.xxx.xxx.61 22
Sat Oct 4 11:24:09 2014 TCP 178.63.xxx.xxx 26217 => 94.xxx.xxx.80 22
Я проверил системный журнал, и примерно в то же время, что и выше, упоминается следующее. Обратите внимание на строки с ** s. «устройство перешло в беспорядочный режим»
##################
Oct 4 11:20:01 v7 CRON[18962]: (cap) CMD (cd /var/tmp/ ; ./ps x >/dev/null 2>&1)
**Oct 4 11:24:34 v7 kernel: [7144175.421969] device eth0 entered promiscuous mode**
Oct 4 11:30:01 v7 CRON[19075]: (cap) CMD (cd /var/tmp/ ; ./ps x >/dev/null 2>&1)
**Oct 4 11:31:31 v7 kernel: [7144591.716996] device eth0 left promiscuous mode**
Oct 4 11:31:31 v7 kernel: [7144592.377159] ssh-scan[19234]: segfault at 0 ip 0000000008048e33 sp 00000000ffa39110 error 4 in ssh-scan[8048000+c0000]
###################
Я также много замечал этого:
#############
Oct 4 11:31:47 v7 kernel: [7144607.756445] ssh-scan[19178]: segfault at 0 ip 0000000008048e33 sp 00000000ffa39110 error 4 in ssh-scan[8048000+c0000]
Oct 4 11:31:50 v7 kernel: [7144611.372464] ssh-scan[19725]: segfault at 0 ip 0000000008048e33 sp 00000000ffa39110 error 4 in ssh-scan[8048000+c0000]
Oct 4 11:31:52 v7 kernel: [7144613.062509] ssh-scan[19326]: segfault at 0 ip 0000000008048e33 sp 00000000ffa39110 error 4 in ssh-scan[8048000+c0000]
Oct 4 11:31:53 v7 kernel: [7144614.091379] ssh-scan[19704]: segfault at 0 ip 0000000008048e33 sp 00000000ffa39110 error 4 in ssh-scan[8048000+c0000]
Oct 4 11:31:53 v7 kernel: [7144614.121336] ssh-scan[19747]: segfault at 0 ip 0000000008048e33 sp 00000000ffa39110 error 4 in ssh-scan[8048000+c0000]
Oct 4 11:31:53 v7 kernel: [7144614.377344] ssh-scan[19727]: segfault at 0 ip 0000000008048e33 sp 00000000ffa39110 error 4 in ssh-scan[8048000+c0000]
Oct 4 11:31:53 v7 kernel: [7144614.404263] ssh-scan[19712]: segfault at 0 ip 0000000008048e33 sp 00000000ffa39110 error 4 in ssh-scan[8048000+c0000]
Oct 4 11:31:54 v7 kernel: [7144614.557179] ssh-scan[19708]: segfault at 0 ip 0000000008048e33 sp 00000000ffa39110 error 4 in ssh-scan[8048000+c0000]
Oct 4 11:31:54 v7 kernel: [7144614.673588] ssh-scan[19709]: segfault at 0 ip 0000000008048e33 sp 00000000ffa39110 error 4 in ssh-scan[8048000+c0000]
Oct 4 11:31:54 v7 kernel: [7144614.678058] ssh-scan[19749]: segfault at 0 ip 0000000008048e33 sp 00000000ffa39110 error 4 in ssh-scan[8048000+c0000]
Oct 4 11:31:54 v7 kernel: [7144615.195993] ssh-scan[19711]: segfault at 0 ip 0000000008048e33 sp 00000000ffa39110 error 4 in ssh-scan[8048000+c0000]
#########
Что мне теперь делать? Как мне узнать, как хакер получил доступ к моей машине и как мне предотвратить это?
С другой стороны, похожий инцидент произошел несколько месяцев назад, когда мой хост сказал, что моя установка elasticsearch потенциально может быть проблемой дыры в безопасности. Я удалил elasticsearch, поскольку не использовал его, и изменил пароль root.
Мы будем благодарны за любую помощь в расследовании этой проблемы.
Спасибо
ОБНОВЛЕНИЕ 1
Я запустил who -u и вижу следующее
root hvc0 Jul 13 18:55 old 728
deployer pts/0 Oct 4 11:19 04:08 18836 (240.50.134.37.dynamic.jazztel.es) (IS THIS THE HACKER?)
root pts/3 Oct 4 14:53 . 14794 (122.174.xxx.xxx) (THIS IS MY IP)
На этот вопрос трудно ответить, потому что, как правило, нет ни одной вещи, которую можно было бы сделать. Скорее, вы собираете информацию из различных источников, смотрите, что у вас есть, и следуете этим указаниям дальше. И всё же вот некоторые идеи:
важная информация, которую я вижу в том, что вы нам дали, включает в себя:
- было установлено задание cron, и вы знаете, что иногда, когда оно выполнялось
- , задание cron выполняло программу, которая установлена или была установлена на
/var/tmp/ps - , программа с именем
ssh-scanвыполнялась и многократно сегментировалась. Похоже, что это произошло сразу после запуска задания cron
Пока не так уж много, но ищите полезные метки времени.
- время создания и модификации
/var/tmp/ps - время модификации cron-файла, из которого выполняется задание.
Если повезет, эти метки времени могут соответствовать времени, когда ваша машина была взломана, и в этом случае вы знаете больше о том, где искать в журналах информацию о фактическом нарушении.
Где-то есть или была программа, которую система идентифицировала как ssh-scan. Ищите её с помощью locate. Можно переименовать программу после ее запуска, но в этом случае в программе может быть текст ssh-scan, и в этом случае вы можете найти его с помощью grep.
Просмотрите такие вещи, как файлы .bash_history для упоминания crontab, ps и ssh-scan. Если хакер оставил запись истории команд, это может помочь найти ее.
Просмотрите записи, перечисленные в last на предмет чего-то необычного.
Посмотрите на содержимое /var/tmp/ps. Если это двоичный файл, просмотрите вывод строк /var/tmp/ps.
- Хакеры удивительно часто идентифицируют себя в своих программах, но не обязательно, что автором этого файла является человек, взломавший вашу машину
- Возможно, в этом файле есть что-то интересное, или контрольная сумма md5 этого файла может быть найдена с помощью google.
Надеюсь, что что-то из вышеперечисленного приведет к появлению новых зацепок.
Тот факт, что взломщик поместил программу в /var/tmp, и смог включить и выключить беспорядочный режим интерфейса, означает, что у него был root доступ. Хотя вы можете определить точку входа, вы вряд ли когда-нибудь сможете быть уверены, что закрыли им доступ. Вам, вероятно, следует переустановить сервер и быть очень осторожным с тем, что вы копируете на новый. Понимание того, что сделал хакер, может быть очень полезно для понимания того, через что вам не следует копировать. Переустановите как можно больше из доверенных источников за пределами скомпрометированной системы.
Хакер все еще может иметь доступ. Они могут попытаться стереть улики, возможно, весьма деструктивно, так что убедитесь, что все записано в резервную копию. Просмотрите все записи cron и at для черных ходов. Используя брандмауэр, заблокируйте доступ, насколько это возможно, включая ограничение доступа как можно меньшим набором удаленных IP-адресов (например, разрешайте доступ ssh только с определенных IP-адресов). Если ваш хост имеет привилегированный доступ к чему-либо еще, ограничивайте его насколько это возможно.
И последнее, но не менее важное, подумайте о том, чтобы получить профессиональную помощь от кого-нибудь с большим опытом.
.[EDIT В ответ на вашу правку]
Это вполне может быть ваш злоумышленник. Также это может быть промежуточная система, уже контролируемая хакером. Такие аранжировки могут быть сложными и трудно отслеживаться, но есть и множество простых хакеров.
После того, как у вас есть резервная копия, свяжитесь с администраторами jazztel.es. Для доменов .es нет whois, но я думаю, что вам нужен адрес abuse@jazztel.com. Скорее всего, они смогут их закрыть, и, возможно, помогут поставить все перед полицией.
[EDIT Другое дополнение]
Среди различных привилегий, которые может иметь ваш сервер, если у вас есть привычка пересылать ваше соединение с агентом ssh на ваш сервер, то остановите это сейчас. Кто-то с правами суперпользователя на вашем сервере может легко злоупотребить этим, хотя только до тех пор, пока ваша сессия ssh подключена.
[EDIT Другое дополнение]