Я запускаю коробку Debian Stretch. Я по ошибке забыл удалить гостевую учетную запись, которую я открыл для гостя, и я подозреваю, что моя система могла быть взломана с использованием этой учетной записи. Я не совсем уверен, но я видел, как несколько процессов, принадлежащих гостю, занимали процессорное время - некоторые экземпляры sshd и /sbin/syslogd (что меня напугало).

Итак, я убил процессы и удалил пользователя, хорошо для меня. Но - что было бы хорошей идеей, чтобы также сделать? Что-то конкретное, чтобы искать в журналах? Переустановка пакетов? Ядерная вещь с орбиты?

|источник

1 ответ1

1

Это зависит от желаемого уровня доверия к системе.

С оптимистической стороны:

Если все происходит действительно так, как Ты говоришь. Я не могу сказать, что эта система скомпрометирована. Вернее исправить нежелательный доступ. Пока злоумышленник не может получить права root или другого привилегированного пользователя.

Как минимум, Ты все делаешь правильно.

пессимистическая сторона:

Если вы подозреваете и боитесь, что злоумышленник сделает эскалацию разрешений (используя какую-то уязвимость) и установите какой-нибудь руткит.

Любой аудит под контролем потенциально скомпрометированной системы имеет очень небольшое доверие. Это просто надежда на "ошибки" в рутките, которые мешают ему полностью скрыться.

Лучше завершить переустановку системы или провести аудит (путем сравнения с резервным копированием или проверки или переустановки пакетов с помощью диспетчера пакетов), когда вы загружаетесь из доверенной системы на внешний загрузочный носитель или подключаете диск к доверенной системе.

Таким образом, надеюсь, вы получите более подробные советы.

параноидальная сторона

Если root скомпрометирован, тогда даже BIOS или интегрированное управление, такое как IME, может быть взято под контроль, чтобы снова установить руткит в новой системе.

|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .