Задать вопрос

Как найти бекдор на сервере Линукс?

Привет. Есть VPS сервер на линуксе, второй раз за неделю кто-то ломает меня.
Первый раз запустили Multios.Coinminer.Miner, который грузил видимо процессор и на меня прилетела абуза. Я понял свою ошибку, потому что для тестовых пользователей сделал очень слабые пароли и меня скорее всего тупо сбрутили. Поправил.

Вчера прилетела друга абуза, будто бы с моего сервера атаковали другие машины данного хостинга.

Что было сделано после первой атаки?
- поменяны пароли на очень сложные
- удален сам вирус, который был обнаружен
- поставлен fail2ban на 5 попыток
- был запрещен доступ по ROOT через SSH - создал отдельного юзера с супер-привилегиями
- был запрещен доступ по ROOT через RDP - вхожу по другому юзеру с супер-привилегиями
- apt-get update

Что планирую сделать еще?
- Включить 2FA
- Поставить логирование, чтобы понимать кто и как заходит
- возможно, отключить доступ по SSH, если входят по нему или хотя бы сменить порт (вряд ли сильно поможет). Но закрывать полный доступ по SSH не хотелось бы, иногда мне проще зайти по нему, чем по RDP

Вопрос.
Если проблема в том, что кто-то входит все же по SSH - это проще(попробую закрыть доступ. но тут опять же вопрос как меня ломают? Брутфорс нереален)

Если бекдор какой-то есть на сервере - вопрос как его обнаружить? Я нашел пару статей - буду пробовать. но может кто на практике что еще посоветует мне?

Спасибо
  • Вопрос задан
  • 1164 просмотра
Подписаться 4 Сложный 3 комментария
Решения вопроса 1
hottabxp
@hottabxp
Сначала мы жили бедно, а потом нас обокрали..
1) Переустановите сервер;
2) Разрешите доступ к серверу по ssh только по ключу.

Как найти бекдор на сервере Линукс?
100 %-го варика нет. Можно конечно еще один точно такой сервер создать. Взять с него список файлов (вместе с его хешем) и сравнить со списком зараженного. Но оно того не стоит, лучше переустановите.
Ответ написан
Пригласить эксперта
Ответы на вопрос 5
leahch
@leahch Куратор тега Linux
3D специалист. Dолго, Dорого, Dерьмово.
А что, кроме ssh на сереве еще и rdp делает?!
1) переопределить порт ssh
2) доступ по ключу
3) рута только через sudo
4) отключаем ненужные сервисы
5) всё в контейнеры, а доступ к ним через nginx или haproxy
6) фаерволл и закрываем исхолящие с сервера
Профит.
Ответ написан
А разве у SSH нельзя поменять стандартный порт, чтоб при попытке авторизации /злоумышленник/ упирался в стену непонимания чего от него хотят и думая, что дверка закрыта, уходил прочь? Перебирать порты ведь не будут. Не будут же?
Ответ написан
@Drno
Доступ к ssh только с определенных ИП разрешить. И всё

Если это конечно не сервер с кучей юзеров которым надо ssh
Тогда можно впн поднять...
Ответ написан
profesor08
@profesor08
Горький опыт - тоже опыт. Сноси, так как сервер, можно сказать, потерян. Всю настройку ты в любом случае будешь делать через консоль, а значит сможешь все команды разбить на несколько .sh файлов. А это на порядки ускоряет все процессы по настройке.
Ответ написан
@kavabangaungava
Бекдор может быть на уровне ядра. Как только есть подозрение, что сервер скомпрометирован -- снос. Это единственный вариант.
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы