На что обратить внимание на сервере после взлома?

Question

[lssssssssssl]

Потеряли доступ к серверу по ssh, сменился пароль пользователя. Пароль сбросили. Чисто визуально на сервере все, как и прежде. На что стоит обратить внимание, если чисто теоретически кто-то зловредный был на сервере и, возможно, что-то за собой оставил?
И мог ли пароль сбросится сам по себе?
ubuntu server 20.04

Comments

[none7]

Есть такая вещь как руткиты, после того как злоумышленник получил доступ к серверу, все ПО на нём можно считать скомпрометированым. В том числе ядро, ПО для установки и сверки пакетов и все системные библиотеки. Только чистая установка или загрузка с бэкапа образа системы.
Тут ещё стоит учитывать, что важно заранее знать как проникли, иначе через минуту после восстановления, ситуация может окажется той же.

Answer 1

[ky0]

В подобных случаях лучше переустановить ОС к чертям, имхо.

Answer 2

[CityCat4]

Сделать бэкап для форензики, потом уничтожение машины (это же виртуалка?) чтобы винт удалился, создание новой и развертывание бэкапа.
Если бэкапа нет - ну ССЗБ.
Существует множество мест, куда можно что-то вписать - все зависит от квалификации и целей атакующего.

Comments

[lssssssssssl]

Нет, это физический сервер. Есть какие-то варианты, чтобы перенести установленное ПО на новую ОС с минимальными усилиями?

[CityCat4]

lssssssssssl, Я бы не стал. Сервер считается зараженным и до выяснения того, кто кого и в какой позе его вообще в сеть включать не рекомендуется. Сохранить конфиги (/etc и /usr/local/etc - есть есть), сохранить какие-нибудь ценные файлы (это придется вручную шерстить файловую систему), форматировать (полностью!) и ставить заново.
Если есть бэкап, годный для разертывания на физике - форматировать и развернуть бэкап

[d-stream]

В идеале ещё найти потенциальный путь проникновения и при новом развертывании устранить эту дыру.

Кстати что за "установленное ПО" ?
Как давно оно было установлено?
Кем?
Было ли оно квалифицированно установленным?
А нужно ли оно на сервере?
Если нужно как в нём хранятся данные и как их можно перенести на новое место?

В итоге ответив себе на эти вопросы - можно будет накидать план.

p/s/ кстати пароль точно был не "12345"? И его знал один человек? А почему не ключи?

[Андрей Смирнов]

lssssssssssl, взять новый hdd поставить на него систему с нуля, подцепить "скомпрометированный" диск и переносить руками только те настройки и данные в которых точно уверены.

Answer 3

[Руслан Федосеев]

на замену сервера