ISP から、私のサーバーが SSH 経由で別のサーバーに複数回アクセスしようとしたというメールを受け取りました。マシン全体で複数回のスキャンを実行しましたが、何も見つかりません。
マルウェアを削除し、セキュリティ問題を解決する方法を決定する方法をご存知ですか?
答え1
IT セキュリティの専門家として、侵害されたマシンのセキュリティ リスクに対する適切な対応は次のとおりです。影響を受けたシステムを無効にし (システムと侵入を分析するつもりなら、完全にシャットダウンするか、ネットワークから直ちに切断して隔離する)、軌道から削除してクリーンアップします。クリーンアップして、クリーンなバックアップから重要なものを復元し、クリーンなオペレーティング システムの新しい再インストールを行います。
それが終わったら、このシステムにあるすべてのアプリケーションを強化してロックダウンする必要があります。Wordpress などの Web アプリケーションを実行している場合は、定期的にパッチを適用しておく必要があります。fail2banシステムにソリューションを追加し、さまざまなアプリケーションでそれを有効にすると、何かがトリガーされたときに、進行中の攻撃試行により一定期間ファイアウォールでブロックされるようになります。
(システムとアプリケーションを適切に強化することは、この 1 つの投稿では説明しきれないほど広範囲にわたる作業であり、常にケースバイケースの分析/リスク/コストと報酬の分析に基づいて行われるため、すべてを適切に強化するための最善の方法を実際に提供することはできません。)
もし、あんたが本当に何が起こっているのかを分析し、net-tools影響を受けるマシンにインストールして、ネットワークから切断します。
sudo apt install net-tools
それが終わったら、実行してsudo netstat -atupen、システムのポート 22 への送信接続を探し、どのプロセスがポート 22 の送信接続をトリガーしているかを確認します。それにも注意し、確実に表示されるようにする必要がある場合は、何度も実行してください。ネットワークがない場合、試行してすぐに失敗する可能性が高いため、これを数回実行する必要がある場合があります。
しかし、システム上のすべてを削除して最初から再構築したほうがよいでしょうマルウェアに感染しない情報のバックアップをより適切に保管してください。
また、このような問題が発生する可能性があるため、自分のネットワーク上でサーバーなどをホストすることは、自分の作業を理解していない限り避けるべきです。自宅のネットワーク上のシステムが 1 つでも侵入されると、自分のシステムが侵害される可能性があります。
最後に、私の意見をまとめると次のようになります。
私の経験からしても、インターネットに接続しているネットワーク上のすべてのサーバーは、他のサーバーからアクセスできないように強化されています。また、私のネットワークは、マネージド ファイアウォール、マネージド スイッチなどを備えたエンタープライズ グレードのネットワークとして構築されているため、インターネットに接続しているサーバーはそれぞれの DMZ に隔離されており、より重要なデータが存在するネットワークの残りの部分にアクセスできません。この規模のネットワーク分離と強化には、入手できる「住宅用」および「消費者用」グレードの機器で得られるものよりもはるかに多くのものが必要です。インターネットに接続しているシステムを実際に分離して大規模な侵害を防ぎ、さまざまなネットワーク動作のネット フロー ログを取得し、既知の悪質な行為をブロックするためにアクティブなインテリジェンス リストでフィルタリングするには、多くの余分な時間、労力、知識が必要です。これは気の弱い人には向いていませんし、運用を維持するのにも多大な労力が必要です。
顧客のために DMZ で実行しているサーバーのうち 2 台が、WordPress インスタンスに不適切にパッチが適用されていたために最近攻撃を受けました。幸い、バックアップを取っていたので、侵入されたインスタンスを消去し、クリーンなバックアップから復元し、その後、各マシンに 6 時間かけてパッチを適用し、再度強化しました。各サーバー上の 1 つの未パッチの Wordpress インスタンスが原因で、サーバーが侵入され、マルウェアを配布しようとしました。これは私の IDS/IPS によって検出されました。繰り返しますが、これはエンタープライズ グレードのネットワーク設定であるため、すべての保護を投入する時間、インフラストラクチャ、および資金があります。平均的なサーバーや住宅ネットワーク設定では、このようなことは起こりません。