Вопрос: Возможно ли злоумышленнику перезапустить сервер Linux удаленно (без внутреннего доступа)?


Я пытаюсь диагностировать неожиданный перезапуск, который у меня был недавно, и мне просто интересно, если это возможно.


4
2017-11-24 15:04


Источник




Ответы:


Вообще говоря, да: если у вас есть недостаток, который приводит к удаленному выполнению кода с правами доступа root, вы можете это сделать.

На самом деле, существует вероятность того, что конкретный недостаток не приведет к удаленному выполнению кода, но все же приведет к панике ядра и перезагрузке сервера.

Однако, учитывая то, как вы сформулировали свой вопрос, я сомневаюсь, что у вас есть необходимые знания для выполнения посмертного в системе обнаружения такого рода нападений: я бы предложил вам нанять специалиста по безопасности, если вы действительно хотите, чтобы система была проверена.


9
2017-11-24 15:16



Для такой вещи также крайне редко бывает. Скорее всего, аппаратная ошибка, вызывающая панику ядра. Проверьте, нет ли чего-либо в журналах BIOS или если количество обнаруженных процессоров или количество помех изменилось, это произошло здесь недавно, когда плата памяти умерла. - Sirex
Ну, это VPS-сервер, поэтому я не думаю, что причиной этого является аппаратная ошибка. Я проверил / var / log / messages, и я не видел ничего необычного. - robinhoode
@Sirex: Я согласен: я действительно считаю это «последним вариантом», так как это маловероятно. Вопрос был, однако, «возможно ли», а не «это вероятно»;) - Stephane
Ну, где-то ниже всего, что виртуализация, я уверен, что есть некоторые аппаратные скрывается ... - andol
@robinhoode: факт, что это VPS, не делает невозможным «аппаратное обеспечение»: у вас могут быть проблемы с вашими драйверами интеграции, может произойти сбой или даже запрос на перезагрузку хост-машины и любое количество все может вызвать неожиданную перезагрузку, не оставляя много проблем на самом сервере. - Stephane


Вам нужен root-доступ для перезагрузки Linux-сервера. Если ваша учетная запись root была скомпрометирована, и вы включили ssh, то вполне возможно, что кто-то может удаленно перезагрузить ваш сервер. Судя по качеству этого вопроса, я настоятельно рекомендую вам нанять консультанта с опытом откровения, если это повлияет на производственные системы.


3
2017-11-24 15:12



1) Это случается только один раз, так что вполне возможно, что для этого есть разумное объяснение. Я просто пытаюсь исключить причины, которые создают паранойю. 2) Наем профессионала легко взорвет наш бюджет :) - robinhoode
@robinhoode, тогда вы действительно должны переоценить, если у вас действительно есть ресурсы, чтобы делать то, что вы делаете. Если у вас есть данные о клиентах или номера кредитных карт, например, вы задолжать это вашим клиентам нанять профессионала и уведомить их, если произошел прорыв. - MDMarra
Это не мой призыв. Я понимаю ваш уровень этики и согласен с этим. Однако мы не храним серьезную конфиденциальную информацию (например, SSN, кредитные карты и т. Д.). - robinhoode
@robinhoode в зависимости от того, где вы находитесь, вы можете быть юридически обязаны раскрывать нарушения данных вашим клиентам, даже если это не SSN. Некоторые локали требуют уведомления, если Любые личная информация скомпрометирована. Если вы не можете заплатить за правильную защиту ваших услуг, вы не должны их запускать. - MDMarra
Если это VPS, вам необязательно нужен корневой доступ к серверу, вам просто нужно иметь доступ к учетной записи VPS опроса, чтобы вы могли инициировать перезапуск VPS. - Mike Scott


Да, но я бы предположил, что вы не принимаете это во внимание.

Большинство злоумышленников ломаются на серверы по следующим причинам:

  • Выполняйте атаки DOS или C & C других скомпрометированных серверов.
  • Собственный контент, защищенный авторскими правами.
  • Делайте политические или общественные заявления, основываясь на веб-сайтах.
  • Выполнять дополнительные компромиссы для удаленных серверов для клиентов.

Для большинства злоумышленников нет реальной выгоды для взлома сервера, чтобы перезагрузить его. Хотя это возможно, учитывая мотивы большинства нарушителей, это больше вероятно проблема - это что-то другое - либо обслуживание хостинг-провайдером, либо перебои в работе, либо в худшем случае, кто-то случайно перезагружает машину, а не «отказывается от нее». :)


2
2017-11-24 16:18





Конечно, это возможно. смотреть на /var/log/auth.log для проверки подозрительного журнала.


0
2017-11-24 15:41