我是否应该担心“ FBI”是否已登录我的Ubuntu VPS？

Welcome to Ubuntu 14.04.2 LTS (GNU/Linux 2.6.32-042stab116.2 x86_64)
Documentation:  https://help.ubuntu.com/
Last login: Sat Sep 17 04:39:57 2016 from ic.fbi.gov

last -i

#1 楼

可以在DNS中设置IP地址，以由控制该IP地址的任何人解析为任何主机名。例如，如果我控制netblock 203.0.113.128/28， ，则可以将203.0.113.130设置为反向解析为presidential-desktop.oval-office.whitehouse.gov。我不需要控制whitehouse.gov来执行此操作，尽管它在某些情况下可能会有所帮助（特别是使用任何检查以确保反向和正向分辨率匹配的软件）。但这并不意味着美国总统登录了您的VPS。

如果某人可以访问您的系统，则他们可以更改解析器配置，这将使他们能够有效地将任何名称解析为任何名称。 IP地址，或任何名称的IP地址。 （如果他们具有该级别的访问权限，他们也可以对您的系统造成其他各种破坏。）

除非您确认用于登录的IP地址实际上已经注册，否则到FBI，不用担心主机名在fbi.gov下是一个。该名称映射很可能是伪造的。取而代之的是，担心无法成功地从您无法识别的IP地址登录到您无法解释的帐户。

可能是，如果FBI想要VPS上的数据，

您应该担心，但不必担心fbi.gov主机名。

继续阅读如何处理受到感染的服务器？关于服务器故障，您如何解释“将其从轨道上删除”给管理人员和用户的必要性？关于信息安全。真的，做吧。现在做;不要放下它。

#2 楼

我认为您必须担心是否有人未经授权访问您的服务器。正如其他人所提到的，伪造反向DNS主机名的工作量不大。也许他们希望您相信政府机构可以访问您的服务器，这样您就不必再对此事件进行调查了。

您应该备份所有服务器日志以供以后分析，最好重建您的服务器服务器，以消除受损服务器可能引起的任何风险。之后，您（在专家的帮助下）应为服务器设置安全性最佳实践和预防措施。

#3 楼

那么，您是否应该担心这是联邦调查局，还是只是一些偶然的黑客呢？通过日志，某人成功登录到您控制的主机。无论它是谁，都应该假定它已被破坏。报废并重建。

还要记住，任何控制特定IP块的人都可以创建反向DNS条目。它不需要解决他们控制的问题，即，如果我控制一个IP块，则可以为我选择的任何人创建一个反向条目。反向条目和正向条目不必匹配，它们通常由不同的人维护。

#4 楼

用火杀死它。就像昨天一样。

FBI DITU或任何Alphabet Soup的任何其他网络部门，包括CYBERCOM陆军，都不只是从fbi.gov访问您的系统，而是有人在开玩笑-没有认真的调查员/ TF正在做明显的事情。

您需要担心的是，具有比平均滑移知识高的知识的人如何访问您的VPS并做到了这一点。 br />
回到第一点：销毁它。

#5 楼

从人的角度来看。

不是来自FBI。 FBI比通过fbi.gov登录更了解。

但要点是，任何未经授权登录您系统的人都应受到调查。我的建议是将您的系统移至其他地方，并替换为仅用于法医分析的系统。扔一个蜜罐来分散黑客的注意力，以便您记录他们的举动。

#6 楼

您有两种方法：


这是一个黑客，可以访问您的凭据以登录到VPS。
FBI可以访问所有托管服务器，并且您需要获取

分析托管文件，并检查您的配置是否安全，Root用户是否可以连接，是否为ssh创建了特定用户？是否可以访问。

更改您的SSH密码，并每周检查和跟踪是否有活动对您的VPS造成怀疑。

#7 楼

通常，黑客会试图隐藏他/她的身份。他们通常不使用IP地址进行攻击，因为IP地址会解析为真实身份。因此，fbi.gov是假的。

另一方面，众所周知，特勤局“无意中”泄漏了他们在观察某人的事实，以使该人或组织陷入恐慌。模式，犯错误或只是逃离国家。

窗外看看。您的建筑物外面停着一辆可疑无害的货车吗？从Matrix看起来像特工史密斯的家伙吗？

可能不是。

假设您的系统受到威胁。黑客可能还没有什么特别的东西，但是有一个可以用于非法目的的服务器市场。它可能会在一个小时左右的时间内收到儿童色情内容（如果您还没有裸体的话）。

#8 楼

与FBI登录相比，我更关心您的系统的完整性。至于DNS欺骗或定义fbi.gov反向，可惜，攻击者在/var/log/wtmp和/var/log/lastlog的地址字段中使用“ fbi.gov”重写其“真实”地址要容易得多。这些文件的字段结构已被记录了数十年。

我会更担心您被黑客入侵，因为要使用您的日志来植入fbi.gov和真实的FBI地址，需要对上述文件进行root访问。

您的VPS似乎已经严重受损，请对其进行处置并重新安装所有组件。

#9 楼

正如人们一直说的那样。这也是为什么应该定期通过重新安装将未放置在系统上的任何数据备份到另一个位置的很好原因。
其次，在重新安装后，请确保具有密码具有非常安全的密码。使用keepass之类的方法为除主用户使用的密码以外的任何密码生成一个长随机字符串。即使在无法从防火墙外部访问的计算机上，我也使用16个以上的随机字符密码，并且我的堡垒主机现在为24个以上，因为永远不要以root身份直接登录（这不包括使用授权的ssh密钥），也不应使用su。如果您除了紧急情况之外还需要做其他事情，那您就错了。

最后，关于SSH密钥...我在互联网狂野西部使用的任何密钥，我都从未使用过少于2048位的密钥，并且大多数情况下使用的是4096位或更高。

所有这些都不能防止有人通过诸如sendmail之类的程序通过后门获得root访问权限（例如我几年前所做的事情）当我在CompuServe负责UN * X时），然后更改密码，然后进入前门，它也不会保护您免受某些恶意软件的破坏，而这些恶意软件最终在计算机上运行以打开设备，但是

哦...这与反向DNS欺骗有关...这就是为什么像last这样的命令所使用的数据文件经常包含IP地址的原因之一，以及为什么所有服务日志也应记录IP地址。 last -i将显示IP地址本身，而不显示反向DNS。其他命令具有类似的标志。

评论

---

您说不应使用root用户或su。有时，我不得不编辑系统文件（在/ etc中），那么您将如何做呢？

– Rubik
16-09-21在7:27

---

将root或su用于那些不太频繁的需求，但仅针对那些需求。

– Skaperen
16-09-21在7:59

---

#10 楼

我会担心真正的联邦调查局是否没有能力犯这样的错误。真正的黑客会假设您让他们知道他们的存在就会重建。是孩子们还是草率的玩耍的人。