Как найти злоумышленника на своём сервере?

Question

[Простой Человек]

Hetzner прислал письмо такого содержания
Естественно сразу зашёл, команду тык
netstat -tulpn | grep 58519
Пусто.
Как вычислить?

Answer 1

[Drno]

Там же исходящий порт..
Дропни фаерволом все коннекты для локальных подсетей во вне

У тебя там виртуалки?

Comments

[Простой Человек]

Дело в том, что файервола нет.

ПС. Стоит docker в нём pterodactyl и вроде бы ispmgr с ним тоже работает (но это не точно)

[Drno]

Простой Человек, просто на хосте iptables закройте исходящие на "сервые" подсети.

[Простой Человек]

Drno, оптимально будет такое правило?

iptables -t filter -A OUTPUT -s 192.168.0.0/24 -j DROP

ПС. А всё-таки можно его вычислить? Имею ввиду откуда, с какого приложения и куда/зачем?

[Drno]

Простой Человек, я бы указал еще и интерфейс, внешний. а то ты и докер повалишь

[Простой Человек]

Drno, так?

iptables -t filter -A OUTPUT -o eno1 -d 192.168.0.0/24 -j DROP

Answer 2

[hint000]

netstat -tulpn

опция -l тут неуместна, она для показа слушающих портов, а ваша злоумышь может вообще ничего не прослушивать, а только самостоятельно отправлять пакеты (получение ответного пакета не подразумевает прослушивание порта).
Так что netstat -tupn | grep 58519могло бы показать, кто отправляет пакеты на порт 58519, если атака продолжается на момент запуска команды. Но злоумышь может к этому моменту пробовать отправку на другой порт (в таком случае его можно обнаружить, убрав grep по конкретному номеру порта). Но злоумышь может и приостановить атаку на неопределённое время, тогда найти гораздо сложнее.

Comments

[Простой Человек]

а я правильно понял, что получается меня ломанули и с моего сервера/ip атакуют внутреннюю сеть hetzner?

Если так, то делать это можно только от root, но у меня доступ только по ключу. Получается ключ не особо помогает?

[hint000]

Простой Человек,

делать это можно только от root

Нет, можно от простого пользователя. В той активности, которую в письме показал hetzner, нет ничего такого, что требует root'овские права.

Получается ключ не особо помогает?

Ломать можно и не через ssh. Вы же для чего-то используете сервер. Например, у вас там web-сервер запущен. И какие-то php-скрипты есть, а не сплошная статика. А может быть даже CMS есть. Через это всё прекрасно можно ломать. В операционной системе установлены обновления? Регулярно их устанавливаете?

[Простой Человек]

hint000, да, обновления постоянно проверяю, сделал даже команду

alias auuu='apt update && apt upgrade && apt full-upgrade'

Да, всё перечисленное присутствует.
Ясно, в общем кроме как файерволом/iptables на защититься.

[hint000]

Простой Человек,

Ясно, в общем кроме как файерволом/iptables на защититься.

От взлома через web вы не защититесь файерволом, потому что файервол не может отличить взломщика от обычного пользователя. Либо для всех закроете (и для обычных пользователей тоже), либо для всех откроете (и для вломщиков тоже). Защититься можно правильной настройкой web-сервера и CMS (не давать лишних прав на папки, не запускать от имени root), обновлением CMS, осторожным использованием только самых нужных плагинов CMS, имеющих хороший рейтинг, и отключением необязательных плагинов (уязвимости или зараза в плагинах - обычное дело).