Я прочитал следующие сообщения, которые не ответили на мои вопросы:
- Мой Linux-сервер был взломан. Как мне узнать, как и когда это было сделано?
- Как я узнаю, что мой Linux-сервер был взломан?
- и многое другое...
Настройка сервера была такой:
- сервер Ubuntu находился после маршрутизатора (Cisco EA6500) и не имел перенаправления портов (включен uPNP).
- самая глупая идея заключалась в том, чтобы позвонить пользователю user с паролем user.
Сегодня я вошел в веб-редактор php, который подключается по ssh, и не принял пароль. Я узнал, что сервер мог быть взломан.
Я обнаружил следующее:
- все временные метки файлов сервера изменены на дату моего последнего входа в систему (сегодня)
- была одна cronjob /dev/shm/- /.ICE-UNIX/update >/dev/null 2>&1 добавлена пятница
- при запуске ubuntu произошла ошибка, в которой говорилось, что "error variable ROOT not set"
Что я сделал:
- восстановить пароль с помощью консоли восстановления
- создание небольшой брандмауэр который получил некоторые попытки попасть в ssh.
Вопросы:
- Как мне узнать, что было изменено?
- Как они попали, если не было открытого порта ssh?
Позже редактировать: Они оставили журналы нетронутыми, и я узнал, что они вошли по ssh и сменил пароль. За последние недели было много попыток входа в систему по ssh. Я переустановил систему, переместил порт, установил брандмауэр и проверяю маршрутизатор. У него определенно есть дыры в безопасности. Спасибо вам всем!
Я бы больше не стал доверять этой машине и переустановил и, вероятно, сканировал на наличие руткитов (некоторые руткиты даже переживают форматирование диска).
Если вы заботитесь о безопасности, мой личный совет - перезапустить все заново.