未经授权的访问后我应该检查什么?

未经授权的访问后我应该检查什么?

我不小心在路由器上留下了一个开放端口,使用相当不安全的密码通过 SSH 访问我的一台计算机。我注意到是因为我检查了 /var/log/auth.log 并且只有一个来自外部的条目。没有 bash 历史记录,也没有任何容易注意到的东西。我应该检查什么才能知道我的计算机没有受到损害?

答案1

如果您愿意,请彻底检查,但聪明的攻击者可能会留下易于发现的迹象,但隐藏其他巧妙隐藏的后门...可能无法确定...

问题是,一旦受到威胁,机器(以及它可以访问的其他机器)就会变得不可靠(因为不可能知道他们是否改变了任何东西。所以你必须假设他们做了。如果他们做了,他们可以改变操作系统/内核、命令、文件系统、引导扇区,任何东西都可以“正常”运行并隐藏特定的文件或文件夹或网络数据包。不能信任被黑客访问的机器上的任何命令。)

通常最好的策略(也是最快的!)是“从轨道上进行核攻击”的方法:从所有网络(局域网等)拔下该机器,备份文档,然后使用 CD(即干净且未经过修改的 CD)重新安装整个机器。有来源)。然后仅恢复其上的文档(没有 exe、没有 dll、没有二进制文件、没有脚本(或彻底检查它们)等)。在再次将其插入网络之前,首先修复导致漏洞的原因。

问题是,除了该机器之外,一旦能够访问 LAN,他们也可以使用工具来访问任何其他机器(包括路由器)。

同样的策略也适用于那些......

将“调查”部分留给其他人以及其他时间(保留磁盘以供有时间时使用)。

对于模式详细过程,https://serverfault.com/a/218011/146493, 经过罗布姆,是一本很好的读物,有理智而重要的步骤。

相关内容