我不小心在我的路由器上留下了一个开放端口,使用一个相当不安全的密码通过 SSH 访问我的一台计算机。我注意到是因为我检查了 /var/log/auth.log 并且只有一个来自外部的条目。没有 bash 历史,也没有任何容易注意到的东西。我应该检查什么才能知道我的计算机没有受到损害?
如果需要,请彻底检查,但聪明的攻击者可能会留下易于发现的迹象,但会隐藏其他巧妙隐藏的后门……可能无法确定……
问题是,一旦受到威胁,机器(以及它可以访问的其他机器)就会变得不可靠(因为无法知道他们是否改变了任何东西。所以你必须假设他们做了。如果他们做了,他们可以改变操作系统/内核、命令、文件系统、引导扇区,任何东西。它可以只是表现得“正常”并隐藏特定的文件或文件夹或网络数据包。你不能信任被黑客访问的机器上的任何命令。)
通常最好的策略(也是最快的!)是“轨道核弹”方法:从所有网络(局域网等)上拔下那台机器,备份文档,然后使用 CD 重新安装整台机器(即,干净且未经处理的与来源)。然后只恢复上面的文档(没有 exe、没有 dll、没有二进制文件、没有脚本(或检查它们)等等)。并在再次将其插入网络之前首先修复允许违规的原因。
问题是,除了那台机器,一旦可以访问局域网,他们就可以使用工具来访问任何其他机器(包括路由器)。
同样的策略也适用于那些......
将“调查”部分留给其他人和其他时间(请保留磁盘以备不时之需)。
对于模式的相关详细过程,https://serverfault.com/a/218011/146493,通过ROBM,是很好看的,有理智和重要步骤。
| 归档时间: |
|
| 查看次数: |
2394 次 |
| 最近记录: |