Si la computadora de su hogar está directamente en Internet y ejecuta un servidor SSH, está bajo un ataque constante de ataques de diccionario desde China y otros lugares; es obvio en / var / log / secure. Si tiene una contraseña de root débil, probablemente se adivinará. Desactivar el inicio de sesión de contraseña de root en sshd_config bloquea la mayor parte de eso, y cambiar a usar claves en lugar de contraseñas lo protegerá de los keyloggers.
Los piratas informáticos necesitan algún tipo de servicio en ejecución para obtener acceso, ya sea con credenciales que puedan adivinar o conseguir que les brindes, o mediante una vulnerabilidad explotable. La pila de red básica es muy, muy raramente vulnerable: sería noticia de la noche y habría una solución al día siguiente. Entonces, una ruta típica sería a través de un servidor web, probablemente en una aplicación desactualizada. He sido pirateado varias veces, una vez a través de una versión obsoleta del webmail Roundcube, una vez por una vulnerabilidad en Realserver (que realmedia corrió estúpidamente como raíz años después de apache, etc., cambió a la eliminación de privilegios), y una vez por falta de desinfección entrada del usuario en una aplicación de cámara web que escribí (alrededor de 1994 antes de que alguien supiera mucho sobre estas cosas).
Si no ejecuta servidores o cortafuegos todo lo que solo necesita acceso a la red local, estará bastante seguro (es más probable que le roben su computadora en un robo).
Es probable que las personas intenten piratear sus sitios web de océano digital todo el tiempo; cualquier solicitud inesperada de php.cgi y otras secuencias de comandos CGI con parámetros extraños probablemente sean intentos de concha. Puede verlos en / var / log / httpd / error_log. Inofensivo a menos que no haya actualizado bash y tenga scripts CGI que pasen variables de entorno al shell.
Cualquier ataque web se registrará en los registros del servidor web, a menos que el atacante obtenga root y borre los registros, y puede reenviar syslog a una máquina segura para evitar eso. El problema es ver un ataque exitoso entre todo el ruido.
Si un atacante obtiene una cuenta shell a través de credenciales adivinadas o comprometidas, habrá una entrada en / var / log / secure. Si corren sudo, lo mismo. Si no son muy hábiles, puede haber registros en el archivo del historial, por ejemplo, ~ user / .bash_history. Es posible configurar HISTTIMEFORMAT para registrar el tiempo de los comandos, lo que ayuda a asignar la culpa (quién hizo qué después de iniciar sesión desde dónde).
Si alguien puede obtener una cuenta de shell a través de una vulnerabilidad web, es posible que no haya evidencia en / var / log / secure (apache no puede iniciar sesión directamente). Si pueden encontrar un exploit de escalada de privilegios y obtener acceso a la raíz, eso puede pasar por alto los procedimientos normales de inicio de sesión y no dejar ningún registro. Si es víctima de alguien experto, que simplemente copia información como su archivo / etc / shadow o base de datos de clientes, y luego se desconecta, es posible que nunca vea nada a menos que tenga un registro completo de la red. Pero la mayoría de los piratas informáticos no son tan hábiles y quieren hacer cosas. Tan pronto como comiencen a ejecutar IRC o envíen correo no deseado, puede ver actividad inesperada de la red y archivos inesperados abiertos con lsof, a menos que hayan podido piratear el núcleo para ocultar la evidencia (con un rootkit), y aún así vería tráfico de red en un monitor externo.
Puede detectar servidores troyanados como sshd comparando las firmas digitales con buenos valores conocidos; en Redhat, “rpm -Va” y busque “5” en binarios. Si un hacker ha creado una cuenta de usuario, puede verlo en / etc / passwd. Si cambiaron una contraseña existente, puede ver con “passwd -l xxx”.
- Cómo eliminar este virus kl.dll
- Cómo cobrar por las vulnerabilidades que he encontrado en sitios sin recompensas por errores
- ¿Es realmente necesario un antivirus para Windows 10?
- ¿Tener contraseñas seguras de Internet es una forma de ayudar a mantener su identidad segura?
- ¿Por qué no se creó Firesheep antes?