昨天,我正在使用我的主机提供的IPMI控制台对我的VPS进行一些常规维护。

通过IPMI控制台再次设置SSH密钥后,我通过SSH登录并震惊地看到了这一点:

Welcome to Ubuntu 14.04.2 LTS (GNU/Linux 2.6.32-042stab116.2 x86_64)
Documentation:  https://help.ubuntu.com/
Last login: Sat Sep 17 04:39:57 2016 from ic.fbi.gov


我立即联系了我的托管公司。他们说,他们不知道为什么会这样,而且主机名很可能被欺骗了。

我做了更多的挖掘工作,并将ic.fbi.gov解析为IP地址。

然后我在系统上运行了该文件:

last -i


这返回了我的IP地址,然后返回了我不知道的其他两个IP地址。我对这两个IP地址进行了geoIP。其中一个是VPN,另一个是华盛顿州一家托管公司的服务器。

同样,我将ic.fbi.gov解析为的IP不在列表中。 br />
您认为我应该对“ FBI”获得对我的VPS的访问权感到担心/担心吗?还是仅仅是欺骗了主机名的黑客?

评论

显然是有人在开玩笑。您真正要担心的是某人进入后所做的事情。从轨道上将整个VPS核掉。这是唯一可以确定的方法。

我和@MichaelHampton在一起,在这里提出了错误的问题。您应该担心登录以外的人。

您是否认为我应该对“ FBI”获得对我的vps的访问权感到担心/担心?我会。对您来说幸运的是,这不是联邦调查局,因为即使您不承担任何责任,联邦调查也确实可以改善您的生活。

另外,如果您(后来)看到一个弹出窗口(通常带有拼写和语法错误),则表明您的文件已被“选择”,因为它们涉及儿童色情和恐怖主义等“罪行”,但您可以通过支付“罚款”将其取回。 “在BTC几个小时之内,那也不是联邦调查局,那是一些罪犯。

相关:serverfault.com/questions/218005/…

#1 楼

可以在DNS中设置IP地址,以由控制该IP地址的任何人解析为任何主机名。例如,如果我控制netblock 203.0.113.128/28, ,则可以将203.0.113.130设置为反向解析为presidential-desktop.oval-office.whitehouse.gov。我不需要控制whitehouse.gov来执行此操作,尽管它在某些情况下可能会有所帮助(特别是使用任何检查以确保反向和正向分辨率匹配的软件)。但这并不意味着美国总统登录了您的VPS。

如果某人可以访问您的系统,则他们可以更改解析器配置,这将使他们能够有效地将任何名称解析为任何名称。 IP地址,或任何名称的IP地址。 (如果他们具有该级别的访问权限,他们也可以对您的系统造成其他各种破坏。)

除非您确认用于登录的IP地址实际上已经注册,否则到FBI,不用担心主机名在fbi.gov下是一个。该名称映射很可能是伪造的。取而代之的是,担心无法成功地从您无法识别的IP地址登录到您无法解释的帐户。

可能是,如果FBI想要VPS上的数据,

您应该担心,但不必担心fbi.gov主机名。

继续阅读如何处理受到感染的服务器?关于服务器故障,您如何解释“将其从轨道上删除”给管理人员和用户的必要性?关于信息安全。真的,做吧。现在做;不要放下它。

评论


或者更明显的,合法的。

–撤消
16-09-18在22:01

像是5美元的扳手。

– isanae
16 Sep 19'6:34

@undo可能。我在想类似针对ISP的NSL。

–用户
16-09-19在7:20

您确实不需要控制IP块来为其设置反向DNS。您只需要控制正在解析所述IP地址的计算机的DNS服务器/主机文件/其他名称解析机制。如果要在官方DNS服务器中设置名称,则实际上只需要拥有IP块即可。例如,黑客可能在您的盒子上或其他地方设置了DNS服务器(将其设置为使用DNS进行名称解析),再次登录,然后将您的名称服务器设置更改回去。

– reirab
16-09-19在21:49

如果控制DNS服务器,则可以使任何正向或反向查找解析为所需的任何内容。几年前,一位同事曾经发现google.com解析为一个网络服务器,该服务器将他重定向到某个播放有阿斯特利先生的YouTube视频。 :)

– reirab
16 Sep 19 '21:51



#2 楼

我认为您必须担心是否有人未经授权访问您的服务器。正如其他人所提到的,伪造反向DNS主机名的工作量不大。也许他们希望您相信政府机构可以访问您的服务器,这样您就不必再对此事件进行调查了。

您应该备份所有服务器日志以供以后分析,最好重建您的服务器服务器,以消除受损服务器可能引起的任何风险。之后,您(在专家的帮助下)应为服务器设置安全性最佳实践和预防措施。

#3 楼

那么,您是否应该担心这是联邦调查局,还是只是一些偶然的黑客呢?通过日志,某人成功登录到您控制的主机。无论它是谁,都应该假定它已被破坏。报废并重建。

还要记住,任何控制特定IP块的人都可以创建反向DNS条目。它不需要解决他们控制的问题,即,如果我控制一个IP块,则可以为我选择的任何人创建一个反向条目。反向条目和正向条目不必匹配,它们通常由不同的人维护。

#4 楼

用火杀死它。就像昨天一样。

FBI DITU或任何Alphabet Soup的任何其他网络部门,包括CYBERCOM陆军,都不只是从fbi.gov访问您的系统,而是有人在开玩笑-没有认真的调查员/ TF正在做明显的事情。

您需要担心的是,具有比平均滑移知识高的知识的人如何访问您的VPS并做到了这一点。 br />
回到第一点:销毁它。

#5 楼

从人的角度来看。

不是来自FBI。 FBI比通过fbi.gov登录更了解。

但要点是,任何未经授权登录您系统的人都应受到调查。我的建议是将您的系统移至其他地方,并替换为仅用于法医分析的系统。扔一个蜜罐来分散黑客的注意力,以便您记录他们的举动。

评论


他们现在知道得更多,但即使他们偶尔也会搞砸了。大约十年前,当IE6仍然是国王时,司法部的某个人在DOJ的大多数台式机和笔记本电脑上都配置了IE,其方式是IE在用户代理字符串中添加了自定义字符串。然后可以搜索Web服务器访问日志,并确定DOJ中是否有人通过官方计算机甚至是星巴克的笔记本电脑访问了该站点。 IE的当前版本不再提供使之成为可能的功能。

–迈克尔·汉普顿
16-09-22在22:53

@MichaelHampton只需在chrome / firefox上安装用户代理切换器

–noɥʇʎԀʎzɐɹƆ
16-09-22在23:14

@MichaelHampton添加自定义字符串很可能不是一个错误。通常,在访问由假定的美国实体持有的公共信息时,美国政府机构不会试图掩盖他们正在获取该信息的事实。他们可能会尝试尽可能明确地说明该访问权限。

–兰德尔
16-09-24在17:19

#6 楼

您有两种方法:


这是一个黑客,可以访问您的凭据以登录到VPS。
FBI可以访问所有托管服务器,并且您需要获取

分析托管文件,并检查您的配置是否安全,Root用户是否可以连接,是否为ssh创建了特定用户?是否可以访问。

更改您的SSH密码,并每周检查和跟踪是否有活动对您的VPS造成怀疑。

评论


如何处理受到感染的服务器?有关服务器故障的建议。

–用户
16-09-20在7:36

#7 楼

通常,黑客会试图隐藏他/她的身份。他们通常不使用IP地址进行攻击,因为IP地址会解析为真实身份。因此,fbi.gov是假的。

另一方面,众所周知,特勤局“无意中”泄漏了他们在观察某人的事实,以使该人或组织陷入恐慌。模式,犯错误或只是逃离国家。

窗外看看。您的建筑物外面停着一辆可疑无害的货车吗?从Matrix看起来像特工史密斯的家伙吗?

可能不是。

假设您的系统受到威胁。黑客可能还没有什么特别的东西,但是有一个可以用于非法目的的服务器市场。它可能会在一个小时左右的时间内收到儿童色情内容(如果您还没有裸体的话)。

#8 楼

与FBI登录相比,我更关心您的系统的完整性。至于DNS欺骗或定义fbi.gov反向,可惜,攻击者在/var/log/wtmp/var/log/lastlog的地址字段中使用“ fbi.gov”重写其“真实”地址要容易得多。这些文件的字段结构已被记录了数十年。

我会更担心您被黑客入侵,因为要使用您的日志来植入fbi.gov和真实的FBI地址,需要对上述文件进行root访问。

您的VPS似乎已经严重受损,请对其进行处置并重新安装所有组件。

#9 楼

正如人们一直说的那样。这也是为什么应该定期通过重新安装将未放置在系统上的任何数据备份到另一个位置的很好原因。
其次,在重新安装后,请确保具有密码具有非常安全的密码。使用keepass之类的方法为除主用户使用的密码以外的任何密码生成一个长随机字符串。即使在无法从防火墙外部访问的计算机上,我也使用16个以上的随机字符密码,并且我的堡垒主机现在为24个以上,因为永远不要以root身份直接登录(这不包括使用授权的ssh密钥),也不应使用su。如果您除了紧急情况之外还需要做其他事情,那您就错了。

最后,关于SSH密钥...我在互联网狂野西部使用的任何密钥,我都从未使用过少于2048位的密钥,并且大多数情况下使用的是4096位或更高。

所有这些都不能防止有人通过诸如sendmail之类的程序通过后门获得root访问权限(例如我几年前所做的事情)当我在CompuServe负责UN * X时),然后更改密码,然后进入前门,它也不会保护您免受某些恶意软件的破坏,而这些恶意软件最终在计算机上运行以打开设备,但是

哦...这与反向DNS欺骗有关...这就是为什么像last这样的命令所使用的数据文件经常包含IP地址的原因之一,以及为什么所有服务日志也应记录IP地址。 last -i将显示IP地址本身,而不显示反向DNS。其他命令具有类似的标志。

评论


您说不应使用root用户或su。有时,我不得不编辑系统文件(在/ etc中),那么您将如何做呢?

– Rubik
16-09-21在7:27

将root或su用于那些不太频繁的需求,但仅针对那些需求。

– Skaperen
16-09-21在7:59

#10 楼

我会担心真正的联邦调查局是否没有能力犯这样的错误。真正的黑客会假设您让他们知道他们的存在就会重建。是孩子们还是草率的玩耍的人。