Domanda:
Dovrei essere preoccupato se l '"FBI" ha effettuato l'accesso al mio VPS di Ubuntu?
lol what is this
2016-09-18 19:38:09 UTC
view on stackexchange narkive permalink

Ieri stavo eseguendo un po 'di manutenzione generale su un mio VPS, utilizzando la console IPMI fornita dal mio host.

Dopo aver configurato nuovamente le chiavi SSH tramite la console IPMI, ho effettuato l'accesso tramite SSH e sono rimasto scioccato nel vedere questo: 

  Benvenuti in Ubuntu 14.04.2 LTS (GNU / Linux 2.6.32-042stab116.2 x86_64) Documentazione: https://help.ubuntu.com/Last login: Sat Sep 17 04:39:57 2016 da ic.fbi.gov

Ho contattato immediatamente la mia società di hosting. Hanno detto che non sapevano perché questo potrebbe essere, e che è possibile che il nome host sia stato falsificato.

Ho scavato un po 'di più e ho risolto ic.fbi.gov in un indirizzo IP.

Ho quindi eseguito questo sul sistema: 

  last -i

Questo ha restituito il mio indirizzo IP, e poi altri due indirizzi IP che mi erano sconosciuti. Ho geoIP di questi due indirizzi IP. Uno di questi era una VPN e l'altro era un server di una società di hosting nello stato di Washington.

Ancora una volta, l'IP su cui ho risolto ic.fbi.gov non era nell'elenco.

Pensi che dovrei essere preoccupato / preoccupato per l '"FBI" che ottiene l'accesso al mio VPS? O è solo un hacker che ha falsificato il nome host?

È chiaramente l'idea di uno scherzo di qualcuno.Quello di cui dovresti veramente preoccuparti è quello che ha fatto qualcuno dopo essere entrato. Nuke l'intero VPS dall'orbita.È l'unico modo per essere sicuri.
Sono con @MichaelHampton, la domanda sbagliata viene posta qui.Dovresti essere preoccupato che qualcuno diverso da te abbia effettuato l'accesso.
"Pensi che dovrei essere preoccupato / preoccupato per l '" FBI "che ottiene l'accesso ai miei vps?" Lo sarei.Fortunatamente per te, * non * l'FBI, perché un'indagine federale può davvero rovinarti la vita, anche se non sei accusato di nulla.
Inoltre, se (in un secondo momento) viene visualizzato un popup, di solito con errori di ortografia e grammatica, che i file sono stati "bloccati" perché coinvolti in "reati" come la pornografia infantile e il terrorismo, ma è possibile recuperarli pagando una "multa"entro poche ore in BTC, non è nemmeno l'FBI, è un criminale.
Rilevante: https://serverfault.com/questions/218005/how-do-i-deal-with-a-compromised-server
Avresti notato che la data era sbagliata se invece mostrava solo un indirizzo IP?Un po 'ironico.
@MichaelHampton: "È chiaramente l'idea di uno scherzo di qualcuno" - forse dell'NSA ;-)
Ovviamente si stavano collegando da "FBI Surveillance Van # 5"
L'FBI non è abbastanza stupido da farlo.Io spero...
Hai una buona opinione delle organizzazioni governative.I loro dipendenti non vengono pagati tanto quanto i lavoratori delle aziende private e hanno altro di cui preoccuparsi.Mi dispiace, ma non sei * così * prezioso come potenziale sospetto su cui spendere i soldi dei contribuenti.
Probabilmente è un hacker che voleva farti uno scherzo o forse cercare di farti pensare che la colpa fosse dell'FBI, così forse non hai indagato sul problema ...
Potresti anche riferirlo al * reale * FBI.Si preoccupano degli hacker.Ovviamente, ormai hai bombardato il tuo sistema e le prove sono sparite ... Fammi rimettere in fase.Potrebbero non interessarsi che tu venga hackerato, ma probabilmente si preoccupano delle persone che fingono di essere loro ...
Se sei sufficientemente paranoico, ti renderai conto che è l'FBI che finge di essere un hacker che finge di essere l'FBI.Quei diavoli intelligenti!
Anche se non è stato menzionato in nessuna risposta, va notato che la risoluzione in quel dominio ha fatto una grande distrazione in stile fumo e specchi dal vero problema.
`... preoccupato per l '" FBI "...` Hai cose abbastanza serie da preoccupare l'FBI?Saresti più preoccupato per (a) l'FBI o (b) qualcuno sconosciuto che può sia accedere al tuo sistema sia anche risolvere il nome del veleno per te?
@jmk Cosa c'è che non va nella data?
@TylerH Mi scuso, intendevo la parte di quella stringa che mostra un nome di dominio
Scorri il tuo registro di accesso, si spera che tu ruoti negli ultimi 12 mesi, per vedere da quanto tempo è andato avanti ... controlla il timestamp su / etc / hosts mentre ci sei.Chi fornisce il tuo VPS?Hanno almeno un accesso backdoor per la manutenzione?Suppongo che la password non sia comune a siti Web che perdono insieme a un host che identifica e-mail o nome utente o indirizzo (con riferimenti incrociati a whois)?auth.log per il timestamp per confermare ciò che puoi .....
"O è solo un hacker occasionale che ha falsificato il nome host?"Esattamente.E se questo era l'FBI, non credi che abbiano fatto un lavoro orribile lasciando una traccia come questa?Considerando come ci sono server "cloud" uomo là fuori, sarei abbastanza fiducioso che un vero hack da parte di un'agenzia governativa sarebbe stato eseguito tramite un proxy che è ospitato su qualche sistema neutrale da qualche parte.
@dave_thompson_085 ma se non ci sono errori di ortografia o chiedono invece DogeCoin, * allora * è l'FBI.
Dovresti preoccuparti della tua ** password ** !!!!!!!!!!!!!!!!!!!!!!Il vero problema è che ** qualcuno ** ha effettuato l'accesso!
Dieci risposte:
a CVn
2016-09-18 19:56:12 UTC
view on stackexchange narkive permalink

Un indirizzo IP può essere impostato nel DNS per risolverlo in qualsiasi nome host, da chiunque abbia il controllo di quell'indirizzo IP.

Ad esempio, se ho il controllo del netblock 203.0.113.128 / 28, quindi posso impostare 203.0.113.130 per la risoluzione inversa a presidential-desktop.oval-office.whitehouse.gov . Non ho bisogno del controllo di whitehouse.gov per farlo, sebbene possa essere d'aiuto in alcune situazioni (in particolare, con qualsiasi software che controlla per assicurarsi che la risoluzione inversa e in avanti corrisponda ). Ciò non significherebbe che il presidente degli Stati Uniti abbia effettuato l'accesso al tuo VPS.

Se qualcuno ha accesso al tuo sistema, può modificare la configurazione del resolver che gli consentirà effettivamente di risolvere qualsiasi nome su qualsiasi IP indirizzo o qualsiasi indirizzo IP a qualsiasi nome. (Se hanno quel livello di accesso, possono provocare ogni tipo di altro caos anche con il tuo sistema.)

A meno che e fino a quando non verifichi che l'indirizzo IP che è stato utilizzato per accedere sia effettivamente registrato su l'FBI, non preoccuparti che il nome host sia uno sotto fbi.gov . La mappatura del nome potrebbe essere falsificata. Preoccupati invece che sia stato effettuato correttamente l'accesso al tuo account che non puoi spiegare, da un indirizzo IP che non riconosci.

Possibilità sono che se l'FBI volesse i dati sul tuo VPS, userebbe un approccio un po 'meno ovvio per ottenerli.

Dovresti preoccuparti, ma non sul nome host fbi.gov.

Vai a leggere Come posso gestire un server compromesso? su Server Fault e come spieghi la necessità di "bombardarlo dall'orbita" al management e agli utenti? qui su Information Security. Davvero, fallo. Fallo ora; non rimandare.

O un po 'più ovvio, legale.
[Come una chiave inglese da 5 dollari.] (Https://xkcd.com/538/)
@undo Possibilmente.Stavo pensando qualcosa come una [NSL] (https://en.wikipedia.org/wiki/National_security_letter) diretta all'ISP.
Bene, queste persone dell'FBI usano tutti i tipi di tecniche e travestimenti per raccogliere informazioni e / o prove su qualsiasi cosa o chiunque.Anche se questo può sembrare molto innocente e / o accidentale, non commettere errori che, come ha detto Michael Kjorling, qualcuno ha effettuato con successo l'accesso al tuo VPS senza il tuo permesso e senza che lo sapessi.
Non hai davvero bisogno del controllo del blocco IP per impostare il DNS inverso per esso.Hai solo bisogno del controllo del server DNS / file host / altro meccanismo di risoluzione dei nomi del computer che sta risolvendo detto indirizzo IP.Hai solo bisogno di possedere il blocco IP se vuoi impostare il nome nei server DNS ufficiali.L'hacker potrebbe avere, ad esempio, impostato un server DNS (sulla tua scatola o altrove), impostare il tuo computer per usarlo per la risoluzione dei nomi, accedere di nuovo e quindi modificare nuovamente l'impostazione del server dei nomi.
Se controlli il server DNS, puoi risolvere qualsiasi ricerca diretta o inversa in base a ciò che desideri.Diversi anni fa, un collega una volta ha scoperto che google.com si è risolto su un server web che lo ha reindirizzato a un determinato video di YouTube con il signor Astley.:)
Per parafrasare un certo non russo, ["Dio. Server DNS. Qual è la differenza?"] (Http://ars.userfriendly.org/cartoons/?id=19981111)
@reirab Sì.Alcuni anni fa, mentre eseguivo la risoluzione dei problemi da remoto per un cliente in Nuova Zelanda, ho scoperto che il loro "loopback" si stava risolvendo in un indirizzo geolocalizzato a Hong Kong.Non puoi scommettere la tua vita su un _hostname_.
Koorosh Pasokhi
2016-09-18 20:26:57 UTC
view on stackexchange narkive permalink

Penso che DEVI essere preoccupato se qualcuno ha accesso non autorizzato al tuo server. Come altri hanno detto, non c'è molto lavoro per falsificare il nome host DNS inverso. Forse vogliono che tu creda che sia giusto che un'agenzia governativa abbia accesso al tuo server in modo che tu non indaghi più sull'incidente.

Dovresti eseguire il backup di tutti i log del server per un'analisi successiva e preferibilmente ricostruire il tuo server per eliminare tutti i rischi che un server compromesso potrebbe causare. Dopodiché (con l'aiuto di un esperto) dovresti configurare il server con le migliori pratiche e precauzioni di sicurezza.

s3c
2016-09-18 20:00:59 UTC
view on stackexchange narkive permalink

Quindi dovresti preoccuparti se fosse l'FBI, o va bene se fosse solo un hacker occasionale? Dai log, qualcuno si è connesso con successo a un host che controlli. Dovrebbe essere considerato compromesso indipendentemente da chi fosse. Scartalo e ricostruiscilo.

Inoltre, tieni presente che una voce DNS inversa può essere creata da chiunque abbia il controllo di un blocco IP specifico. Non ha bisogno di risolversi in qualcosa che controllano, cioè, se controllo un blocco IP posso creare una voce inversa per chiunque scelga. Le voci inversa e in avanti non devono corrispondere e sono spesso gestite da persone diverse.

VaeInimicus
2016-09-20 16:40:02 UTC
view on stackexchange narkive permalink

Uccidilo con il fuoco. Come ieri.

L'FBI DITU o qualsiasi altra unità informatica di qualsiasi Alphabet Soup per includere Army CYBERCOM NON si occupa di accedere semplicemente al tuo sistema da fbi.gov, qualcuno lo è scherzando su di te - nessun investigatore serio / TF sta facendo qualcosa di così evidente.

Quello di cui devi preoccuparti è come qualcuno con una conoscenza dello skiddie superiore alla media ha avuto accesso al tuo VPS e lo ha fatto.

Tornando al primo punto: distruggerlo.

noɥʇʎԀʎzɐɹƆ
2016-09-23 02:58:40 UTC
view on stackexchange narkive permalink

Prendilo dal punto di vista umano.

Non è dell'FBI. L'FBI sa meglio di così per accedere da fbi.gov.

MA il punto principale è che chiunque acceda al tuo sistema non autorizzato in questo modo dovrebbe essere indagato. La mia raccomandazione sarebbe di spostare il tuo sistema altrove e sostituirlo con un sistema solo per l'analisi forense. Metti un honeypot per distrarre l'hacker in modo da poter registrare le sue mosse.

Adesso lo sanno meglio, ma anche a volte sbagliano.Quasi un decennio fa, quando IE6 era ancora il re, qualcuno del Dipartimento di Giustizia forniva IE sulla maggior parte dei desktop e laptop del DOJ in modo tale che IE avesse una stringa personalizzata aggiunta alla stringa dello user-agent.È stato quindi possibile cercare nei log di accesso al server web e determinare se qualcuno del DOJ avesse visitato un sito da un computer ufficiale, anche da un laptop di Starbucks.Le versioni attuali di IE non offrono più le funzionalità che lo hanno reso possibile.
@MichaelHampton installa semplicemente lo switcher dell'agente utente su chrome / firefox
@MichaelHampton l'aggiunta della stringa personalizzata probabilmente * non * è stato un errore.In generale, quando si accede a informazioni pubbliche detenute da una presunta entità statunitense, le agenzie del governo statunitense non tentano di nascondere il fatto che stanno ottenendo tali informazioni;possono cercare di essere il più espliciti possibile su tale accesso.
Kate
2016-09-20 07:40:08 UTC
view on stackexchange narkive permalink

Hai due modi:

  1. È un hacker che ha accesso alle tue credenziali per accedere al tuo VPS.
  2. L'FBI ha accesso a tutti i server di hosting e a te bisogno di ottenere una risposta dalla tua società di hosting, ma non credo.

Analizza i tuoi file di backup e controlla se la tua configurazione è sicura, l'utente root può connettersi o meno, hai creato un utente specifico per l'accesso ssh o meno, ecc.

Cambia la tua password SSH e controlla e monitora ogni settimana se un'attività ha sospetti sul tuo VPS.

[Come gestisco un server compromesso?] (Https://serverfault.com/q/218005/58408) su [sf] ha dei validi consigli.
Klaws
2016-09-20 20:46:14 UTC
view on stackexchange narkive permalink

Normalmente, un hacker cercherà di nascondere la propria identità. In genere non utilizzano un indirizzo IP per i loro attacchi che risolveranno la loro vera identità. Quindi fbi.gov è falso.

D'altro canto, è noto che i servizi segreti trapelano "accidentalmente" il fatto che stanno osservando qualcuno, al fine di portare la persona o l'organizzazione in modalità panico , commetti errori o semplicemente fuggi dal paese.

Guarda fuori dalla finestra. c'è un furgone dall'aspetto sospettosamente innocuo parcheggiato fuori dal tuo edificio? Qualcuno che assomiglia all'agente Smith di Matrix?

Probabilmente no.

Supponi che il tuo sistema sia compromesso. L'hacker potrebbe non avere ancora nulla di speciale, ma esiste un mercato per i server che possono essere utilizzati per scopi illegittimi. Potrebbe ospitare pornografia infantile in circa un'ora (se non l'hai ancora bombardato).

Rui F Ribeiro
2016-09-22 01:20:09 UTC
view on stackexchange narkive permalink

Sarei più preoccupato per l'integrità del tuo sistema che per l'accesso dell'FBI; per quanto riguarda lo spoofing DNS o la definizione di inversione di fbi.gov, ahimè, è molto più facile per l'attaccante riscrivere il suo indirizzo "reale" con un "fbi.gov" nei campi dell'indirizzo di / var / log / wtmp e / var / log / lastlog . La struttura dei campi di questi file è stata documentata per decenni.

Sarei più preoccupato per il fatto che tu possa essere hackerato, poiché per giocare con i tuoi log per piantare fbi.gov e gli indirizzi reali dell'FBI, è necessario un accesso root per i file sopra menzionati.

Sembra probabile che il tuo VPS sia stato seriamente compromesso, smaltiscilo e reinstalla tutto di nuovo.

Doug Needham
2016-09-21 05:15:29 UTC
view on stackexchange narkive permalink

Come dice la gente ... bombardalo. Questo è anche un buon motivo per cui dovresti eseguire regolarmente il backup di tutti i dati non inseriti in un sistema tramite una reinstallazione in un'altra posizione.

In secondo luogo, dopo la reinstallazione, assicurati che ogni account abbia una password ha una password molto sicura. Usa qualcosa come keepass per generare una lunga stringa casuale per qualsiasi password diversa da quella che usi per il tuo utente principale. Uso 16+ password di caratteri casuali anche su macchine inaccessibili dall'esterno del mio firewall, e i miei host bastion ora sono 24+, poiché non si dovrebbe mai accedere direttamente come root (questo non include l'uso di chiavi ssh autorizzate), né si dovrebbe usare su. Se devi farlo per qualcosa di diverso da una grave emergenza, stai facendo qualcosa di sbagliato.

Infine, per quanto riguarda le chiavi SSH ... qualsiasi chiave che uso nel selvaggio west di Internet stesso, non ne uso mai di meno. di chiavi a 2048 bit e sto usando principalmente 4096 bit o più.

Tutto ciò non ti proteggerà da qualcuno che ottiene l'accesso come root attraverso la backdoor tramite un processo come sendmail (come ho fatto anni fa quando ho era responsabile di UN * X a CompuServe), quindi cambiare una password, per poi entrare nella porta principale, né ti proteggerà da qualche malware che hai finito per eseguire sulla macchina per aprire le cose, ma andrà un ottimo modo per rafforzare il tuo sistema.

Oh ... e tutta questa faccenda sullo spoofing DNS inverso ... questa è una delle ragioni per cui i file di dati usati da comandi come last spesso includono l'indirizzo IP, e perché tutti i log per i servizi dovrebbero registrare anche l'indirizzo IP. Un last -i mostrerà l'indirizzo IP stesso e non farà il DNS inverso. Altri comandi hanno flag simili.

Dici che non si dovrebbe mai usare l'utente root o su.Di tanto in tanto, ho dovuto modificare i file di sistema (in `/ etc`), quindi come lo faresti?
usa root o su per quelle esigenze meno frequenti, ma solo quelle.
Skaperen
2016-09-21 13:06:05 UTC
view on stackexchange narkive permalink

Sarei preoccupato se il vero FBI fosse così incompetente da commettere un errore del genere. I veri hacker presumono che ricostruirai se lasciano che la loro presenza sia nota. Sono bambini o aspiranti sciatti che giocano.



Questa domanda e risposta è stata tradotta automaticamente dalla lingua inglese. Il contenuto originale è disponibile su stackexchange, che ringraziamo per la licenza cc by-sa 3.0 con cui è distribuito.
Loading...