¡Te damos la bienvenida al nuevo sysarmy --help! Para recuperar tu usuario pedí un password reset.

Limpieza de server

A un amigo de un amigo, parece que le ownearon un servidor, aparentemente con una cuenta con acceso a sudo.

en /tmp/.xs encontre archivos muy sospechosos, con procesos ejecutandose

Cuales serian los pasos a seguir para segurizar nuevamente el servidor ?

Respuestas

  • Pasale el Lynis para saber en que estado esta (https://cisofy.com/lynis/) y que recomendaciones te da.
  • 1. Desconectarlo de la red

    2. Evaluar todos los servidores de la red. A la primera de cambio, desconectarlos también

    3. Hacer una imagen del disco del server afectado, para análisis forense posterior

    4. Formatear todo y reinstalar.
  • Reinstalar, los datos que haya que guardar pasarles maldet o similar (por mas que sean archivos de texto).

    Y si tenes ganas guardar el disco para analizar que hicieron, lo correcto en este caso seria desenchufar el server directo sin reiniciar.



    Saludos
  • Cambiar passwords

    revisar logs por intentos de login y ver usuario que se logueó

    sudo ejecutados

    reglas de firewall, solo dejar inciiar conexiones de lugares conocidos

    cambiar puerto ssh

    habilitar el login por key

    cambiarle el password a root y deshabilitar el PermitRoot login

    Revisá los procesos a ver si hay alguno extraño.
  • Ademas de lo de comenta @godlike lo importante es:

    • ANALIZAR LA IMAGEN, con eso vas a poder entender COMO entraron, punto fundamental critico para poder segurizarlo.
    • Parchear todos los servicios expuestos hacia internet/lan
    • Usar SELinux, es una GRAN capa de proteccion.
    • Recompilar el kernel con el parche de GRSecurity, es una MUY SUPERIOR Capa de proteccion respecto a SELinux y super simple de usar/configurar.
Este hilo ha sido cerrado.