실수로 상당히 안전하지 않은 비밀번호를 사용하여 내 컴퓨터 중 하나에 SSH를 연결하기 위해 라우터의 열린 포트를 남겨 두었습니다. /var/log/auth.log를 확인했는데 외부 항목이 하나만 있었기 때문에 알았습니다. bash 기록도 없고 쉽게 눈에 띄는 것도 없습니다. 내 컴퓨터가 손상되지 않았는지 확인하려면 무엇을 확인해야 합니까?
답변1
원할 경우 철저하게 확인하십시오. 영리한 공격자는 쉽게 발견할 수 있는 징후를 남기고 영리하게 숨겨진 다른 백도어를 숨길 수 있습니다... 확실히 판단하는 것은 불가능할 수 있습니다.
문제는 일단 손상되면 머신(및 액세스 권한이 있는 다른 머신)이 신뢰할 수 없게 된다는 것입니다(왜냐하면 그들이 무엇을 변경했는지 알 수 없기 때문입니다. 따라서 변경했다고 가정해야 합니다. 변경했다면 운영 체제를 변경할 수 있습니다/ 커널, 명령, 파일 시스템, 부트 섹터 등 "정상적으로" 실행하고 특정 파일이나 폴더 또는 네트워크 패킷을 숨기는 모든 것입니다.할 수 없다해커가 액세스한 시스템의 모든 명령을 신뢰하십시오. )
종종 가장 좋은 전략(그리고 가장 빠른!)은 "궤도에서 핵 공격" 접근 방식입니다. 모든 네트워크(LAN 등)에서 시스템의 플러그를 뽑고 문서를 백업한 다음 CD(즉, 수정되지 않은 깨끗한 CD)를 사용하여 다시 설치합니다. 전체 기계. 출처가 있습니다.) 그런 다음 해당 문서만 복원합니다(exe, dll, 바이너리, 스크립트 없음(또는 철저하게 확인) 등). 네트워크에 다시 연결하기 전에 먼저 취약점의 원인을 해결하세요.
문제는 해당 시스템 외에도 LAN에 액세스할 수 있게 되면 도구를 사용하여 다른 시스템(라우터 포함)에도 액세스할 수 있다는 것입니다.
동일한 전략이 다음에도 적용됩니다.
"조사" 부분은 다른 사람과 다른 시간에 맡기십시오(시간이 있을 때를 위해 디스크를 보관하십시오).
패턴 세부 공정을 위해서는,https://serverfault.com/a/218011/146493, 통과로붐, 합리적이고 중요한 단계가 포함된 좋은 읽기입니다.