Мой Raspberry Pi VPN только что взломали. Что мне делать с

Question

Я настроил свой Raspberry Pi 2 в качестве VPN и перенаправил порт 22 также, чтобы я мог получить к нему доступ в другом месте.

Я оставил пароль root, но не ожидал, что на него будут нацелены.

Когда я недавно вошел в свой RPI2, я обнаружил несколько странных двоичных файлов и файлов оболочки в моем доме и / каталоге.

Я гуглил одно из имен, и первой ссылкой был анализ вредоносного ПО, подтверждающий, что это был какой-то windows-вирус.

Я запаниковал и сразу же запустил rm -rf / .

Я не думал ни о каких других вариантах, поэтому я не могу найти какие-либо файлы журналов?

В любом случае, мой вопрос в том, что мне теперь делать, если некоторые личные данные, вероятно, были скопированы в другом месте.

а также

как + почему хакеры просто находят и взламывают SSH-логины?

Должен ли я использовать микроволновую карту micro SD или безопасно подключить ее к ноутбуку и перезаписать, учитывая, что в rm -rf / было много ошибок, связанных с отказом в разрешении, поэтому она не полностью удалена?

Answer 1

Здесь так много неправильного, что я не уверен, что это тролль, то есть это идеальный шторм вещей, которых не должно было случиться. Я думаю, что любой разумный дистрибутив не будет уничтожать вашу систему с помощью rm -rf /, и в зависимости от характера хака, скорее всего, ваша система была просто тупым узлом для более широкого ботнета - я бы сделал разумные вещи, такие как изменение ваших паролей, и следить за странными сделками, но не паниковать так сильно.

Использование пароля по умолчанию глупо. Я редко использую слово, но оно полностью подходит.Грубое принудительное сканирование на наличие ssh и других уязвимостей, таких как старые версии phpmyadmin, тривиально, когда у вас уже есть армия плохо защищенных систем с паролями, такими как toor. Небольшие изящные маленькие машины, RPI и IP-камеры - это лучшее оружие в наши дни, поскольку они плохо защищены, как и ваша. Одна машина - это я, сто страшных ... ну, эти комедианты достали куски интернета, и машины, настроенные так, как будто вы были "о, никто нас никогда не взломает", являются частью проблемы. В этом отношении, исходя из собственного (болезненного) опыта, я бы рассматривал SSH-вход с чистым паролем без небезопасного ключа. Использование toor в качестве пароля было бы просто неприемлемо.

Поэтому в будущем вы захотите вставить SD-карту в другую коробку, чтобы выполнить сканирование AV или архивировать содержимое, скопировать ее в другую систему и сканировать архивы. Это должно сказать вам точно, что угроза.

Вы также хотели бы отключить root ssh логины (что является ужасной привычкой). Обычно я даже не устанавливаю пароль пользователя root, предпочитая использовать sudo по мере необходимости. Если вы все равно используете VPN, рассмотрите возможность ограничения SSH для диапазонов VPN и домашнего IP-адреса.

В то время как микроволнение - это немного экстрим, полная переформатирование и переустановка, а также настройка rpi на разумные значения по умолчанию - хорошая идея.