Нашел этот logentry на моем сервере в cron.logs, кажется, попытка взлома, какие-либо предложения для дальнейшей работы?

Вот журнал, который был выполнен:

mkdir /root/.ssh/;echo "ssh-rsa <some unkown public-key> > /root/.ssh/authorized_keys

Я предполагаю, что меня взломали. Любой совет для очистки (кроме смены пароля, очистки авторизованных ключей)?

linux ssh cron noircc
источник

Вы знаете, как они вошли? Я думаю, сначала вытащить ключ из авторизованных ключей. Я бы также порекомендовал отключить прямой root-вход для SSH. Затем я попытался бы выяснить, какую уязвимость они использовали, чтобы сначала добавить ключ. Может также проверить разрешение / собственность здравомыслие на файлах /root.

убийца

да, мы нашли это, это был gootkit старая дыра в безопасности plesk. (это дружественный сервер, и он сейчас обновляет сервер.)

noircc

Ответы:

Если машина была взломана, вы не можете ничего доверять ей, точка. Единственный разумный путь - отключиться от сети, сделать полное резервное копирование с помощью спасательной системы (возможно, для этого нужно установить носитель для вашей системы). Затем установите с нуля, убедившись , что у вас есть все в актуальном состоянии и правильно защищены Измените все пароли, даже не относящиеся к делу, а также пароли для удаленных сайтов, которые вы использовали с этого компьютера. Если вам нужны какие-то данные, храните их и тщательно проверяйте, прежде чем снова оставлять их где-нибудь рядом с компьютером.

Возможно, вы захотите сохранить оригинальный диск (или изображение) для криминалистической забавы ...

vonbrand
источник