Я веб-разработчик, и в настоящее время в нашем офисе нет никого, кто бы специализировался на благополучии сервера или сети. Обычно я могу разобрать многие проблемы, которые возникают с моими базовыми знаниями, но в настоящее время у нас происходят некоторые странные вещи, и я понятия не имею, что происходит, поэтому я ищу совета у кого-то более знающего, чем я, чтобы избавиться немного света, если возможно.
У нас есть сервер ecloud, размещенный на UK Fast (сервер Linux), и он содержит сервер VPS и множество клиентских сайтов. Вчера сервер случайно отключился, и когда мы поняли, мы позвонили им, и они сказали, что у кого-то есть SSH, и запустили команду sudo rm TSG-server.pub который по сути удалил весь наш сервер. UK быстро удалось получить нам IP-адрес, откуда пользователь, который это сделал, получал к нему доступ, но 1. Я не знаю, как это вообще помогает и 2. Они все равно могли использовать VPN.
Странно то, что у них была попытка входа в систему, и она была успешной ... Итак, кто бы это ни был, он знал пароль или получил его откуда-то. Единственное место, где у нас есть пароль, - это LastPass, и никто его не знает. Итак, мы восстановили резервную копию и все вернули, изменили пароль и закончили работу.
Итак, сегодня утром, и это случилось снова ... за исключением того, что на этот раз они не оставили никаких следов того, кто это был, потому что они также удалили журналы ...
Как они могли это делать и как мы можем это остановить? Я даже не знаю, с чего начать ...
Кто-нибудь знает, как это может происходить, пожалуйста.
Вы говорите, что после первой атаки вы «восстановили резервную копию и вернули все». Если вы восстановили резервную копию не в чистой системе, а в существующей серверной инфраструктуре, вполне возможно, что злоумышленник оставил какой-то черный ход с первой попытки. Поскольку они удалили журналы, вы не можете точно знать, использовала ли вторая атака действительный пароль или метод лазейки.
Из вашего описания я делаю вывод, что у взломанной учетной записи были привилегии root. Вы можете ограничить вход в систему только учетными записями без полномочий root и потребовать дополнительные учетные данные (как минимум судо пароль, лучше что-то вроде двухфакторной аутентификации) для root-доступа.
Я не знаю конфигурации сервера, но если злоумышленник снова вошел в систему с первой попытки, возможно, вы стали целью атаки MITM (Man-in-the-middle).
Я предполагаю, что злоумышленник не может быть инсайдером, одним из сотрудников вашей компании, у которого есть доступ к паролю.
Вы должны начать с защиты своего сервера, настроить аутентификацию на основе ключа и просканировать сервер на наличие уязвимостей с помощью такого инструмента, как OpenVas.
Также проверьте эту статью, чтобы узнать больше об атаках MITM и о том, как их предотвратить: https://www.ssh.com/attack/man-in-the-middle.