Seguridad

Qué hacer si su servidor Linux es pirateado

Como explicamos en nuestra guía paso a paso anterior, si usted o su proveedor notan una actividad inusual en su servidor Linux, existen algunas formas sencillas de determinar si sus datos se han visto comprometidos.

Una vez que haya determinado que se ha producido un ataque, es hora de controlar los daños. En esta guía, repasaremos algunos pasos básicos a seguir después de haber sido pirateado, incluido aislar su servidor de la red y hacer una copia de la unidad para que pueda hacer que profesionales investiguen la naturaleza y el alcance de la infracción.

También aprenderá algunas de las mejores prácticas para restaurar servidores a partir de copias de seguridad limpias, escanear en busca de malware, aplicar nuevos cambios de contraseña e implementar cambios para evitar futuros ataques.

Paso 1. Aislar el servidor infectado de la red

Si sospecha que su servidor Linux ha sido objeto de acceso no autorizado o ha sido comprometido, el primer paso es aislarlo de la red. Esto desconectará a los usuarios no autorizados. Si el malware ha infectado un servidor, ponerlo en cuarentena también evitará que la infección se propague por la red.

Dependiendo de su ubicación, si está utilizando un servidor, puede hacerlo simplemente desconectando el cable Ethernet. Alternativamente, si accede a través de SSH, puede desactivar una interfaz de red específica usando el comando ifconfig:

sudoifconfig abajo

Por favor asegúrese de reemplazar ‘‘ con el nombre de una interfaz específica, como ‘eth0’. Para ver una lista de todas las interfaces de red disponibles, ejecute:

ls /sys/clase/net/

Si su servidor tiene capacidades inalámbricas, puede bloquear todas estas conexiones de la siguiente manera:

sudo rfkill bloquea todo

Paso 2. Cree una instantánea de todos los procesos activos

Documentar y registrar todos los aspectos de su servidor es fundamental para el cumplimiento legal y una mayor investigación para garantizar que no vuelva a ocurrir un ataque similar.

Este archivo puede ser una prueba valiosa si todavía se está ejecutando algún proceso malicioso o malicioso en el servidor infectado. Utilice el siguiente comando para guardar un archivo de texto de todos los procesos activos:

ps aux > proceso_instantánea.txt

Instantánea de todos los procesos activos

Puede ver el contenido del documento a través de un editor de texto, por ejemplo ÑU Nano o empuje.

Paso 3. Realice una copia de seguridad fuera de línea segura de todas las unidades del servidor

Registrar los procesos actualmente activos es un paso importante para documentar los ataques al servidor. Aún así, los expertos en ciberseguridad necesitarán una imagen segura del disco del servidor para realizar una investigación exhaustiva.

La forma más sencilla es conectar una unidad externa formateada y en blanco al servidor. Por supuesto, la capacidad de la unidad debe ser igual o (mejor) mayor que el tamaño de todas las unidades del servidor combinadas.

Primero, haga que su servidor enumere todas las unidades y el espacio utilizado abriendo una terminal y ejecutando el siguiente comando:

df-h

El servidor enumera todos los comandos de la unidad

Existen muchas utilidades que puede utilizar para crear copias de discos. De las líneas de comando, «dd» suele ser la más simple. Por ejemplo, para copiar el contenido de /dev/sdc1 a una unidad externa montada en /dev/sdb1, ejecute:

sudo dd if=/dev/sdc1 of=/dev/sdb1/server_image.dd bs=4M estado=progreso

Una vez completado el proceso de copia, puede garantizar la integridad de la imagen del disco para su posterior análisis generando un hash criptográfico utilizando SHA256 o MD5, por ejemplo:

md5sum imagen_servidor.dd

Asegúrese de guardar el hash en la unidad, luego desinstálelo de forma segura y guárdelo en un lugar seguro.

Paso 4: convoca a la caballería

Si su servidor se ha visto comprometido, busque el asesoramiento de un experto en ciberseguridad. Este paso se vuelve especialmente importante si el servidor contiene información sujeta a regulaciones como GDPR.

Los profesionales capacitados en ciberseguridad pueden ayudarlo a registrar eventos adecuadamente y evaluar los vectores de ataque mediante el análisis de copias fuera de línea de los discos del servidor. Esta acción mejorará tu protección contra el próximo ataque.

Paso 5. Restaurar el servidor Linux desde una copia de seguridad limpia

Si ha realizado copias de seguridad periódicas, puede revertir el servidor a un punto anterior a que se viera comprometido.

Este proceso le permite recuperarse de las vulnerabilidades más rápido que buscar en cada puerto, usuario y archivo actualmente en su servidor en busca de malware o fallas de seguridad.

Los pasos exactos para restaurar desde una copia de seguridad variarán según el proveedor de su servidor y la distribución de Linux. Sin embargo, puede reducir la posibilidad de que persista el malware verificando la integridad de la copia de seguridad y manteniendo el servidor aislado de la red durante el proceso de restauración (por ejemplo, iniciando el servidor en modo de recuperación).

Si el sistema operativo elegido utiliza el gestor de arranque GRUB, puede restaurarlo junto con la copia de seguridad del sistema operativo de la siguiente manera:

instalación de grub /dev/sdX

Asegúrese de reemplazar «/dev/sdX» con el nombre de la partición de inicio del servidor. Después de restaurar la copia de seguridad, continúe con una actualización completa del sistema.

Paso 6. Analizar en busca de malware

A pesar de sus mejores esfuerzos por utilizar copias de seguridad limpias, es posible que su servidor Linux haya estado comprometido durante algún tiempo. Por lo tanto, su siguiente paso siempre debe ser escanear su servidor Linux recién restaurado en busca de malware utilizando una herramienta antivirus confiable.

virus de la almeja Sigue siendo uno de los mejores escáneres de malware para servidores Linux. Si aún no está utilizando ClamAV, instálelo en su servidor Ubuntu de la siguiente manera:

sudo apt-get install clamav

Los usuarios de Red Hat pueden instalar ClamAV de las siguientes maneras:

sudo dnf instalar clamav

Si ClamAV está instalado, asegúrese de actualizar la base de datos de definiciones de virus mediante:

Sudo de almejas frescas

Actualizar la base de datos de definiciones de virus mediante sudo Freshclam

Ahora puede realizar un análisis recursivo en busca de malware y eliminar cualquier archivo infectado:

sudo clamscan -r –remove/

También recomendamos instalar y ejecutar «chkrootkit» o «rkhunter» para escanear y eliminar rootkits, ya que pueden reinfectar los servidores que se restauran a partir de la copia de seguridad.

Paso 7. Restablecer todas las credenciales

Cuando restaura un servidor desde una copia de seguridad, esto incluye datos de inicio de sesión, como nombre de usuario y contraseña. Si esta información se ve comprometida, no hay nada que impida que los piratas informáticos vuelvan a entrar en su sistema.

Puede utilizar el comando «chage» para forzar un restablecimiento de contraseña para una cuenta de usuario específica configurando el indicador -d (tiempo de vencimiento de la contraseña) en 0.

sudo cambio -d 0 -M 0 -I -1 -E -1 banol

Si tiene una gran cantidad de usuarios en su servidor, puede usar un bucle «for» para recorrer los cambios de contraseña obligatorios para todas las cuentas:

Para el nombre de usuario en $(cut -d: -f1 /etc/passwd);
sudo cambio -d 0 -M 0 -I -1 -E -1 $nombre de usuario
completo

También asegúrese de revisar su política de contraseñas actual a través de:

sudo nano/etc/security/pwquality.conf

Política de contraseñas

Desde aquí, puede hacer cumplir los requisitos de contraseña. Por ejemplo, para especificar una longitud mínima de contraseña de 12 caracteres, agregue:

Longitud mínima = 12

Paso 8. Fortalecer la armadura

Una vez que el profesional de ciberseguridad elegido complete el análisis, podrá determinar el vector de ataque utilizado la última vez que su servidor se vio comprometido. Luego podrán recomendarle pasos adicionales que puede seguir para proteger su servidor.

Por ejemplo, pueden recomendarle que proteja su servidor de ataques de contraseña de «fuerza bruta» instalando y configurando «fail2ban» para detectar direcciones IP con múltiples intentos fallidos de inicio de sesión y bloquearlas en consecuencia.

Los expertos en seguridad de Internet también pueden recomendar implementar la autenticación de dos factores (2FA) para los usuarios que se conectan vía SSH a través de un paquete de software común como libpam-google-authenticator.

Captura de pantalla de la clave de autenticación de Google

Inicialmente, los usuarios deben ejecutar la herramienta desde su propia cuenta y luego usar una aplicación de autenticación dedicada para generar código.

Es posible que el servidor también requiera parches de seguridad adicionales y archivos de configuración actualizados. Siga estrictamente los consejos de los expertos en ciberseguridad.

De la recuperación a la resiliencia

Cuando se enfrente al desafío de un servidor comprometido, recuerde que la recuperación es sólo el comienzo. Si sigue estos pasos, no sólo podrá restaurar la integridad de su sistema sino también aumentar sus defensas contra futuras amenazas.

Manténgase alerta, manténgase actualizado sobre las últimas medidas de seguridad y recuerde que el panorama de la ciberseguridad cambia constantemente. Con las precauciones y los socios adecuados, puede proteger con éxito su entorno de servidor Linux.

LEER  4 formas en las que los minoristas electrónicos de pymes se enfrentan a los temores de Facebook

Publicaciones relacionadas

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba