¿Qué debo verificar después de un acceso no autorizado?

Accidentalmente dejé abierto un puerto en mi enrutador, dejando acceso a uno de mis orderadores a través de SSH, utilizando una contraseña bastante insegura. Me di count porque revisé /var/log/auth.log y solo había una input desde el exterior. No hay historia de bash ni nada fácilmente perceptible. ¿Qué debo verificar para saber que mi computadora no está comprometida?

Comtesting a background, si quieres, pero los atacantes inteligentes pueden dejar señales fáciles de detectar, pero esconden otras puertas traseras hábilmente escondidas … Podría ser imposible estar seguro …

El problema es que, una vez comprometida, la máquina (y otras máquinas a las que puede acceder) no es confiable (ya que es imposible saber si cambiaron algo. Por lo tanto, debe suponer que sí. Y si lo hicieran, podrían alterar el OS / kernel, los commands, el sistema de files, los sectores de arranque, cualquier cosa. Podría simplemente actuar como "normal" y ocultar files o carpetas específicos o packages de networking. No se puede confiar en ningún command en una máquina a la que accedieron piratas informáticos).

Por lo general, la mejor táctica (¡y la más rápida!) Es el enfoque "nuclear desde la órbita": desconecte la máquina de todas las networkinges (lan, etc.), realice copys de security de documentos y reinstale toda la máquina utilizando un CD (es decir, limpio y no templado con fuente). Y luego restaure solo los documentos (sin exe, sin dll, sin binarys, sin scripts (o verifíquelos completamente), etc.). Y arregle lo que permitió la violación en primer lugar antes de volver a conectarla a la networking.

El problema es que, además de esa máquina, una vez que tienen acceso a la LAN, podrían haber usado herramientas para acceder también a cualquiera de las otras máquinas (incluido el enrutador).

La misma táctica se aplicaría en aquellos también …

Deje la parte de "investigación" a otras personas y otras veces (guarde el disco para cuando tenga time).

Para un procedimiento detallado de modo, https://serverfault.com/a/218011/146493 , de RobM , es una buena lectura, con pasos correctos e importantes.