我刚发现我的 debian 服务器被黑客入侵了。我注意到当我执行 apt-get update 时,它失败了,因为 /var/log/apt 目录不存在。
我进行了调查并发现了以下情况:
- /var/log/ 中的几乎所有文件都归“smile”组所有。
- /var/log 文件中的大部分内容为零,日期为 10 月 10 日(推测为攻击时间)
- 有一个空文件 /var/log/apt(阻止目录 apt)
- 服务器上有一个名为“微笑”的新用户及其相关组。
- Ran rkhunter 发出警告:
- 可能的 rootkit:Xzibit Rootkit(网络搜索返回的结果可能是误报)
- 警告:帐户“smile”相当于根帐户(UID = 0)
- ps ax、grep smile、w 或 who 均未显示任何内容
然后我就这么做了
# userdel smile
userdel: user smile is currently logged in
# userdel -f smile
然后
# grep -R smile /var/log
./auth.log:Nov 20 03:02:05 server sshd[9228]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=211. user=smile
./auth.log:Nov 20 03:02:07 server sshd[9228]: Failed password for smile from 211.... port 58701 ssh2
./auth.log:Nov 20 04:20:32 server sshd[10819]: Invalid user smileing from 211....
./auth.log:Nov 20 04:20:34 server sshd[10819]: Failed password for invalid user smileing from 211.... port 33223 ssh2
因此我可以假设用户/机器人已经多次登录。
我恢复了 /var/log 的权限,并创建了 mkdir /var/log/apt。然后我执行了 apt-get update;apt-get upgrade(已经有一段时间了)。
我的问题是:
- 我如何进一步调查以找出攻击者做了什么/改变了什么?
- 我还能做些什么来保护服务器安全?这可行吗?还是我必须重新安装?
它是一个小型实验集群的头节点。它运行着 NIS、NFS、Torque PBS 和 Ganglia,重新安装起来非常不方便。
谢谢
答案1
- 重建系统。不要尝试修复它。你不会成功的。
- 不要相信系统上的任何东西。任何东西都可能受到损害。
- 代替全部SSL 密钥。撤销现有证书。获取新证书。
- 确保您的系统始终保持最新状态。始终安装所有安全更新。始终运行受支持的版本。
- 使用主机完整性监控系统。一些选项包括 samhain、osiris、tripwire、aide、suricata。
- 使用配置管理系统(最好是自动修复系统)。一些选项包括 cfengine、puppet、chef。
- 不要运行您不需要的服务。
- 不要运行存在频繁安全漏洞记录的服务。寻找具有更好安全记录的替代方案。