web-dev-qa-db-ja.com

Digital Oceanの「Droplet」は、ささいな未公開のWebサイトのために侵害されたとされています。自分のマシンについて心配する必要がありますか?

D.O.からメッセージが来ました私のDropletについて、攻撃のように見える発信トラフィックがたくさんあったので、それをシャットダウンしたと言っていました。そのサーバー上にあるサイトはあまり知られていませんでした。 20人が見てたらビックリします。お金や機密情報とはまったく関係ありません。

D.O.を想定そうです、この攻撃の原因は何でしょうか?私のD.OにSSHで接続するために使用している自分のマシンを経由することはできますか? SSHキーを持つサーバー?つまり、誰かが自分のマシンを違法にリモートで使用して私のDropletにSSHで接続できたのでしょうか。自分のマシンが危険にさらされているとしたら、私は驚きます。 Linuxを実行しており、私は開発にのみ使用しています(海賊行為やポルノなどは禁止されています)。 OSを再インストールして自分のマシンをクリーンアップする必要がありますか、それともこの疑わしいハッカー/ボットが自分のコンピューターとは無関係の何らかの手段で侵入した可能性がありますか?

私の場合、あなたが確実に知ることができないことを知っていますが、この問題に関する一般的な情報が役立つかもしれません。ありがとう。

2
user45940

一部の攻撃者は無料のリソース(帯域幅、CPUパワー)を探しており、ホストの内容にあまり関心がないため、インターネット上にサービスが存在すると、ある程度攻撃される可能性があります。

OSにパッチを適用すると仮定すると、SSHサービスが直接侵害された可能性はそれほど高くありませんが、Webアプリケーションを実行している場合、そのセキュリティ欠陥(SQLインジェクションやリモートファイルインクルージョンなど)により、攻撃者が制御を奪う可能性がありますシステムの。

バックアップがあると仮定すると、最善の策は、液滴を破壊してシステムを再作成することですが、Webアプリケーションのセキュリティを確認することもできます。

1
Rory McCune

開発者になることで、あなたはより多くの目標を達成できます。開発者(悪者があなたのケースでは正しく推測した可能性があるため)は、管理するシステムのボックスにログオン資格情報を持っていることがよくあります。

マシンをホースで接続するのが簡単で、信頼できるソースからマシンを復元できることがわかっている場合は、それを実行してください。箱の中身を詳しく知りたい場合は、複数のAVスキャナーを実行してください。 Wiresharkまたはプロキシを実行し、ボックスからの発信接続がどこに向かっているかを調べます。これは、特に「電話をかける」合法的なアプリの数が増えていることを考えると、困難で時間がかかる可能性があります。

その後、もちろん、D.O。あなたをさせます。

なぜ、誰があなたをハッキングしたのかはわかりません。

Sshキーを変更します。

0
user35648

正直に言うと、未公開のWebサイトのようなものはありません。すべてのIP番号を定期的にクロールし、通常のポートでWebサーバーを探すボットがあります。

彼らはウェブサーバーを見つけたとき、サーバーを乗っ取るためにいくつかのよく知られた設定ミスや他の脆弱性を試すかもしれません。成功した場合、スパムメールを送信したり、インターネット内の他のターゲットを攻撃したりする可能性があります。

ホームマシンの侵入をチェックすることは決して悪い考えではありませんが、攻撃はWebサーバーに直接行われたと思います。ホームマシンとウェブサーバーのパスワードが異なることを願っています。それ以外の場合は、ウェブサーバーの侵害によりホームマシンのパスワードも明らかになりました。