با توجه به نظارت احمقانه در سمت من، من کامپیوتر شخصی خود را در حال اجرا لینوکس به اینترنت عمومی برای کمی بیش از 48 ساعت باز کردم. متأسفانه، متوجه شدم که اشتباه کردم خیلی دیر شده و چندین تلاش موفق برای ورود مجبور به ورود مجدد سیستم از آدرسهای IP از سراسر جهان پیدا کردم. علاوه بر این، کاربری که آنها برای ورود به سیستم داشتند دسترسی ریشه داشت. جلسات تنها یک ثانیه طول کشید، بنابراین فرض میکنم اینها دسترسی خودکار از رباتهایی است که از اینترنت برای باز کردن سرورهای SSH استفاده میکنند.
در اینجا یک ورودی از سیستم ورودی من است:
01 ژوئیه 16:17:51 hostname sshd [21370]: پذیرش رمز عبور برای کاربر از port 146.0.XXX.XXX port 50424 ssh2
01 ژوئیه 16:17:51 hostname sshd [21370]: pam_unix (sshd: session): session برای کاربر کاربر توسط uid = 0
Jul 01 16:17:51 hostname sshd [21370]: pam_unix (sshd: session): جلسه برای کاربر کاربر بسته است
حالا لطفا من را مضحک نکنید – من متوجه شدم اشتباه من و من فکر می کنم کامپیوتر من به طور کامل به خطر افتاده است. من نصب جدیدی را نصب خواهم کرد، اطلاعات را از پشتیبان گیری قبل از نفوذ به دست می آورم و تمام رمزهای عبور و کلیدها را تغییر می دهم.
آنچه که من می خواهم بدانم این است که چگونه آسیب ناشی از آن را ارزیابی کنید. آیا می توانم به دستوراتی که توسط آن ربات ها انجام می شود و داده هایی که توسط آنها دسترسی پیدا می شود نگاه کنم؟ متاسفانه، .bash_history هیچ ورودی جدید برای کاربر یا کاربر ریشه ندارد. از آنجا که جلسات فقط یک ثانیه طول کشید، امیدوارم بتوانند داده های شخصی زیادی را از هارد دیسک من بارگیری کنند؟
