¿Qué debo verificar después de un acceso no autorizado?

Accidentalmente dejé abierto un puerto en mi enrutador, dejando acceso a uno de mis orderadores a través de SSH, utilizando una contraseña bastante insegura. Me di count porque revisé /var/log/auth.log y solo había una input desde el exterior. No hay historia de bash ni nada fácilmente perceptible. ¿Qué debo verificar para saber que mi computadora no está comprometida?

Solutions Collecting From Web of "¿Qué debo verificar después de un acceso no autorizado?"

Comtesting a background, si quieres, pero los atacantes inteligentes pueden dejar señales fáciles de detectar, pero esconden otras puertas traseras hábilmente escondidas … Podría ser imposible estar seguro …

El problema es que, una vez comprometida, la máquina (y otras máquinas a las que puede acceder) no es confiable (ya que es imposible saber si cambiaron algo. Por lo tanto, debe suponer que sí. Y si lo hicieran, podrían alterar el OS / kernel, los commands, el sistema de files, los sectores de arranque, cualquier cosa. Podría simplemente actuar como "normal" y ocultar files o carpetas específicos o packages de networking. No se puede confiar en ningún command en una máquina a la que accedieron piratas informáticos).

Por lo general, la mejor táctica (¡y la más rápida!) Es el enfoque "nuclear desde la órbita": desconecte la máquina de todas las networkinges (lan, etc.), realice copys de security de documentos y reinstale toda la máquina utilizando un CD (es decir, limpio y no templado con fuente). Y luego restaure solo los documentos (sin exe, sin dll, sin binarys, sin scripts (o verifíquelos completamente), etc.). Y arregle lo que permitió la violación en primer lugar antes de volver a conectarla a la networking.

El problema es que, además de esa máquina, una vez que tienen acceso a la LAN, podrían haber usado herramientas para acceder también a cualquiera de las otras máquinas (incluido el enrutador).

La misma táctica se aplicaría en aquellos también …

Deje la parte de "investigación" a otras personas y otras veces (guarde el disco para cuando tenga time).

Para un procedimiento detallado de modo, https://serverfault.com/a/218011/146493 , de RobM , es una buena lectura, con pasos correctos e importantes.