Question:
Dois-je m'inquiéter si le "FBI" s'est connecté à mon Ubuntu VPS?
lol what is this
2016-09-18 19:38:09 UTC
view on stackexchange narkive permalink

Hier, j'effectuais un peu de maintenance générale sur l'un de mes VPS, en utilisant la console IPMI fournie par mon hôte.

Lors de la configuration des clés SSH via la console IPMI, je me suis connecté via SSH et a été choqué de voir ceci: 

  Bienvenue dans Ubuntu 14.04.2 LTS (GNU / Linux 2.6.32-042stab116.2 x86_64) Documentation: https://help.ubuntu.com/Last login: Sat Sep 17 04:39:57 2016 from ic.fbi.gov

Immédiatement, j'ai contacté mon hébergeur. Ils ont dit qu'ils ne savaient pas pourquoi cela pouvait être et qu'il était possible que le nom d'hôte ait été usurpé.

J'ai creusé un peu plus et j'ai résolu ic.fbi.gov en une adresse IP.

J'ai ensuite exécuté ceci sur le système: 

  last -i

Ceci a renvoyé mon adresse IP, puis deux autres adresses IP qui m'étaient inconnues. J'ai géolipé ces deux adresses IP. L'un d'eux était un VPN et l'autre était un serveur d'une société d'hébergement de l'État de Washington.

Encore une fois, l'adresse IP avec laquelle j'ai résolu ic.fbi.gov ne figurait pas sur la liste.

Pensez-vous que je devrais m'inquiéter / m'inquiéter du fait que le "FBI" obtienne l'accès à mon VPS? Ou est-ce juste un hacker qui a usurpé le nom d'hôte?

C'est clairement l'idée que quelqu'un a d'une blague.Ce dont vous devriez vraiment vous inquiéter, c'est ce que quelqu'un a fait après son entrée. Nuke le VPS entier depuis l'orbite.C'est le seul moyen d'en être sûr.
Je suis avec @MichaelHampton,, la mauvaise question est posée ici.Vous devriez être préoccupé par le fait que quelqu'un d'autre que vous vous êtes connecté.
«Pensez-vous que je devrais être préoccupé / inquiet à propos de l'accès du" FBI "à mes vps?"Heureusement pour vous, ce n'était * pas * le FBI, car une enquête fédérale peut vraiment vous faire perdre la vie, même si vous n'êtes accusé de rien.
De plus, si vous obtenez (plus tard) une fenêtre contextuelle, généralement avec des erreurs d'orthographe et de grammaire, indiquant que vos fichiers ont été "siezed" parce qu'ils sont impliqués dans des "infractions" comme la pornographie juvénile et le terrorisme, mais vous pouvez les récupérer en payant une "amende«en quelques heures à BTC, ce n'est pas vraiment le FBI non plus, c'est un ou plusieurs criminels.
Pertinentes: https://serverfault.com/questions/218005/how-do-i-deal-with-a-compromised-server
Auriez-vous remarqué que la date était incorrecte si elle montrait simplement une adresse IP à la place?Un peu ironique.
@MichaelHampton: "C'est clairement l'idée que quelqu'un a d'une blague" - peut-être la NSA ;-)
Ils se connectaient de toute évidence depuis "FBI Surveillance Van # 5"
Le FBI n'est pas assez stupide pour faire ça.J'espère...
Vous avez une bonne opinion des organisations gouvernementales.Leurs employés ne sont pas payés autant que les travailleurs des entreprises privées et ils ont d'autres choses à craindre.Je suis désolé, mais vous n'êtes pas * si * précieux en tant que suspect potentiel sur lequel dépenser l'argent des contribuables.
C'est probablement un hacker qui voulait soit vous farcir, soit essayer de vous faire penser que le FBI était en faute pour que vous n'ayez peut-être pas enquêté sur le problème ...
Vous voudrez peut-être même le signaler au * vrai * FBI.Ils se soucient des pirates.Bien sûr, vous avez maintenant bombardé votre système et les preuves ont disparu ... Permettez-moi de remettre cela en phase.Ils ne se soucient peut-être pas que vous soyez piraté, mais ils se soucient probablement des gens qui prétendent être eux ...
Si vous êtes suffisamment paranoïaque, vous vous rendrez compte que c'est le FBI se faisant passer pour un hacker se faisant passer pour le FBI.Ces démons intelligents!
Bien que cela n'ait été mentionné dans aucune réponse, il convient de noter que la résolution de ce domaine a fait une grande distraction de style fumée et miroirs par rapport au problème réel.
`... inquiet pour le" FBI "...` Avez-vous des choses assez sérieuses pour concerner le FBI?Seriez-vous plus inquiet (a) du FBI, ou (b) d'une personne inconnue qui peut à la fois se connecter à votre système et empoisonner la résolution de noms pour vous?
@jmk Quel est le problème avec la date?
@TylerH Excuses Je voulais dire la partie de cette chaîne montrant un nom de domaine
Parcourez votre journal d'accès, j'espère que vous effectuez une rotation des 12 derniers mois, pour voir combien de temps cela dure ... vérifiez l'horodatage sur / etc / hosts pendant que vous y êtes.Qui fournit votre VPS?Ont-ils au moins un accès backdoor de maintenance?Je suppose que le mot de passe n'est pas un mot de passe commun aux sites Web qui fuient avec un e-mail ou un nom d'utilisateur identifiant l'hôte, ou une adresse (renvoyant au whois)?auth.log pour l'horodatage pour confirmer ce que vous pouvez .....
"Ou est-ce juste un pirate informatique occasionnel qui a usurpé le nom d'hôte?"Exactement.Et si c'était le FBI, ne pensez-vous pas qu'ils ont fait un travail horrible en laissant une trace comme celle-ci?Compte tenu de la façon dont les serveurs «cloud» de l'homme sont là-bas, je serais assez confiant qu'un véritable piratage par une agence gouvernementale serait effectué via un proxy hébergé quelque part sur un système neutre.
@dave_thompson_085 mais s'il n'y a pas d'erreurs d'orthographe ou s'ils demandent DogeCoin à la place, * alors * c'est le FBI.
Vous devriez vous soucier de votre ** mot de passe ** !!!!!!!!!!!!!!!!!!!!!!Le vrai problème est que ** quelqu'un ** s'est connecté!
Dix réponses:
a CVn
2016-09-18 19:56:12 UTC
view on stackexchange narkive permalink

Une adresse IP peut être configurée dans DNS pour être résolue en n'importe quel nom d'hôte, par quiconque contrôle cette adresse IP.

Par exemple, si je contrôle le netblock 203.0.113.128 / 28, alors je peux configurer 203.0.113.130 pour inverser la résolution en presidential-desktop.oval-office.whitehouse.gov . Je n'ai pas besoin de contrôler whitehouse.gov pour ce faire, bien que cela puisse aider dans certaines situations (en particulier, avec tout logiciel qui vérifie que la résolution inverse et directe correspond ). Cela ne voudrait pas dire que le président des États-Unis s'est connecté à votre VPS.

Si quelqu'un a accès à votre système, il peut modifier la configuration du résolveur qui lui permettra effectivement de résoudre n'importe quel nom en n'importe quelle adresse IP adresse, ou toute adresse IP à n'importe quel nom. (S'ils ont ce niveau d'accès, ils peuvent également causer toutes sortes d'autres ravages dans votre système.)

Sauf et jusqu'à ce que vous vérifiiez que l'adresse IP qui a été utilisée pour vous connecter est effectivement enregistrée sur le FBI, ne vous inquiétez pas si le nom d'hôte se trouve sous fbi.gov . Ce mappage de nom peut très bien être truqué. Vous vous inquiétez plutôt du fait que la connexion à votre compte a réussi que vous ne pouvez pas expliquer, à partir d'une adresse IP que vous ne reconnaissez pas.

Chances sont que si le FBI voulait les données sur votre VPS, il utiliserait une approche un peu moins évidente pour les obtenir.

Vous devriez vous inquiéter, mais pas à propos du nom d'hôte fbi.gov.

Allez lire Comment gérer un serveur compromis? sur Server Fault, et Comment faire expliquez-vous la nécessité de «le neutraliser de l'orbite» à la direction et aux utilisateurs? ici sur la sécurité de l'information. Vraiment, fais-le. Fais le maintenant; ne tardez pas.

Ou une loi un peu plus évidente.
[Comme une clé de 5 dollars.] (Https://xkcd.com/538/)
@undo Peut-être.Je pensais à quelque chose comme un [NSL] (https://en.wikipedia.org/wiki/National_security_letter) dirigé vers le FAI.
Eh bien, ces gens du FBI utilisent toutes sortes de techniques et de déguisements pour recueillir des informations et / ou des preuves sur quoi que ce soit ou qui que ce soit.Bien que cela puisse sembler très innocent et / ou accidentel, ne vous méprenez pas sur le fait que, comme l'a dit Michael Kjorling, quelqu'un s'est connecté avec succès à votre VPS sans votre permission et sans le savoir.
Vous n'avez vraiment pas besoin de contrôler le bloc IP pour définir le DNS inversé pour cela.Vous avez juste besoin de contrôler le serveur DNS / fichier hôte / autre mécanisme de résolution de nom de l'ordinateur qui résout ladite adresse IP.Vous ne devez posséder le bloc IP que si vous souhaitez définir le nom dans les serveurs DNS officiels.Le pirate a pu, par exemple, configurer un serveur DNS (sur votre ordinateur ou ailleurs) pour configurer votre ordinateur pour qu'il l'utilise pour la résolution de noms, se reconnecter, puis modifier le paramètre de votre serveur de noms.
Si vous contrôlez le serveur DNS, vous pouvez résoudre toute recherche directe ou inversée à ce que vous voulez.Il y a plusieurs années, un collègue a découvert que google.com s'était résolu à un serveur Web qui le redirigeait vers une certaine vidéo YouTube mettant en vedette M. Astley.:)
Pour paraphraser un certain probablement pas russe, ["Dieu. Serveur DNS. Quelle est la différence?"] (Http://ars.userfriendly.org/cartoons/?id=19981111)
@reirab Oui.Il y a quelques années, en effectuant un dépannage à distance pour un client en Nouvelle-Zélande, j'ai découvert que leur «bouclage» se résolvait vers une adresse géolocalisée à Hong Kong.Vous ne pouvez pas parier votre vie sur un _hostname_.
Koorosh Pasokhi
2016-09-18 20:26:57 UTC
view on stackexchange narkive permalink

Je pense que vous DEVEZ vous inquiéter si quelqu'un a un accès non autorisé à votre serveur. Comme d'autres l'ont mentionné, il n'y a pas beaucoup de travail pour simuler un nom d'hôte DNS inversé. Peut-être veulent-ils que vous pensiez qu'il est normal qu'une agence gouvernementale ait accès à votre serveur afin que vous ne enquêtiez plus sur l'incident.

Vous devriez sauvegarder tous les journaux de votre serveur pour une analyse ultérieure et de préférence reconstruire votre serveur pour éliminer tous les risques qu'un serveur compromis pourrait entraîner. Après cela, vous devez (avec l'aide d'un expert) configurer le serveur avec les meilleures pratiques et précautions de sécurité.

s3c
2016-09-18 20:00:59 UTC
view on stackexchange narkive permalink

Alors, devriez-vous vous inquiéter si c'était le FBI, ou est-ce que ça va si c'était juste un hacker occasionnel? À partir des journaux, quelqu'un s'est connecté avec succès sur un hôte que vous contrôlez. Il doit être présumé compromis, peu importe qui il s'agit. Supprimez-le et reconstruisez-le.

Gardez également à l'esprit qu'une entrée DNS inversée peut être créée par quiconque contrôle un bloc IP spécifique. Il n'a pas besoin de se résoudre à quelque chose qu'ils contrôlent, c'est-à-dire que si je contrôle un bloc IP, je peux créer une entrée inversée pour celui que je choisis. Les entrées inversées et avant ne doivent pas nécessairement correspondre et elles sont souvent gérées par des personnes différentes.

VaeInimicus
2016-09-20 16:40:02 UTC
view on stackexchange narkive permalink

Tuez-le avec le feu. Comme hier.

Le FBI DITU ou toute autre unité cyber de n'importe quelle soupe à l'alphabet pour inclure l'armée CYBERCOM n'est PAS dans le but d'accéder simplement à votre système depuis fbi.gov, quelqu'un est jouer une blague sur vous - aucun enquêteur / TF sérieux ne fait quelque chose d'aussi apparent.

Ce dont vous devez vous soucier, c'est de savoir comment quelqu'un avec des connaissances de skiddie supérieures à la moyenne a accès à votre VPS et je l'ai fait.

Revenons au premier point: détruisez-le.

noɥʇʎԀʎzɐɹƆ
2016-09-23 02:58:40 UTC
view on stackexchange narkive permalink

Prenez-le du point de vue humain.

Ce n'est pas du FBI. Le FBI sait mieux que cela pour se connecter à partir de fbi.gov.

MAIS le point principal est , quiconque se connecte à votre système sans autorisation de cette manière devrait faire l'objet d'une enquête. Ma recommandation serait de déplacer votre système ailleurs et de le remplacer par un système uniquement pour l'analyse médico-légale. Ajoutez un pot de miel pour distraire le pirate afin que vous puissiez enregistrer ses mouvements.

Ils savent mieux maintenant, mais même ils se trompent parfois.Il y a près de dix ans, quand IE6 était encore roi, quelqu'un du ministère de la Justice a provisionné IE sur la plupart des ordinateurs de bureau et portables du DOJ de telle sorte qu'IE avait une chaîne personnalisée ajoutée à la chaîne utilisateur-agent.Il était alors possible de rechercher les journaux d'accès au serveur Web et de déterminer si quelqu'un du DOJ avait visité un site à partir d'un ordinateur officiel, même à partir d'un ordinateur portable chez Starbucks.Les versions actuelles d'IE n'offrent plus les fonctionnalités qui ont rendu cela possible.
@MichaelHampton installe simplement le commutateur d'agent utilisateur sur Chrome / Firefox
@MichaelHampton l'ajout de la chaîne personnalisée n'était probablement * pas * une erreur.En général, lorsqu'ils accèdent à des informations publiques détenues par une entité américaine présumée, les agences gouvernementales américaines n'essaient pas de cacher le fait qu'elles obtiennent ces informations;ils peuvent essayer d'être aussi explicites que possible sur cet accès.
Kate
2016-09-20 07:40:08 UTC
view on stackexchange narkive permalink

Vous avez deux possibilités:

  1. C'est un pirate informatique qui a accès à vos informations d'identification pour vous connecter à votre VPS.
  2. FBI a accès à tous les serveurs d'hébergement et vous besoin d'obtenir une réponse de votre hébergeur, mais je ne pense pas.

Analysez vos fichiers de sauvegarde, et vérifiez si votre configuration est sécurisée, l'utilisateur root peut se connecter ou non, avoir vous avez créé un utilisateur spécifique pour l'accès ssh ou non, etc.

Changez votre mot de passe SSH, et vérifiez et suivez chaque semaine si une activité est suspecte sur votre VPS.

[Comment gérer un serveur compromis?] (Https://serverfault.com/q/218005/58408) sur [sf] a de solides conseils.
Klaws
2016-09-20 20:46:14 UTC
view on stackexchange narkive permalink

Normalement, un pirate tente de cacher son identité. Ils n'utilisent généralement pas d'adresse IP pour leurs attaques qui résoudront leur véritable identité. Donc, fbi.gov est faux.

D'un autre côté, les services secrets ont été connus pour divulguer «accidentellement» le fait qu'ils observent quelqu'un, afin d'amener la personne ou l'organisation à entrer en mode panique , faites des erreurs ou fuyez simplement le pays.

Jetez un œil par la fenêtre. Y a-t-il une camionnette à l'air suspecte garée devant votre immeuble? Des gars qui ressemblent à l'agent Smith de la matrice?

Probablement pas.

Supposons que votre système est compromis. Le pirate n'a peut-être encore rien de spécial, mais il existe un marché pour les serveurs qui peuvent être utilisés à des fins illégitimes. Il peut héberger de la pornographie juvénile dans environ une heure (si vous ne l'avez pas encore fait).

Rui F Ribeiro
2016-09-22 01:20:09 UTC
view on stackexchange narkive permalink

Je serais plus préoccupé par l'intégrité de votre système que par la connexion au FBI; comme pour l'usurpation DNS ou la définition de fbi.gov inverse, hélas, il est beaucoup plus facile pour l'attaquant de réécrire sa "vraie" adresse avec un "fbi.gov" dans les champs d'adresse de / var / log / wtmp et / var / log / lastlog . La structure des champs de ces fichiers est documentée depuis des décennies.

Je serais plus préoccupé par le fait que vous soyez piraté, car pour jouer avec vos journaux pour planter fbi.gov et de vraies adresses FBI, il est nécessaire d'avoir un accès root pour les fichiers susmentionnés.

Il semble probable que votre VPS ait été sérieusement compromis, jetez-le et réinstallez tout à nouveau.

Doug Needham
2016-09-21 05:15:29 UTC
view on stackexchange narkive permalink

Comme les gens l'ont dit ... bombardez-le. C'est aussi une bonne raison pour laquelle vous devez régulièrement sauvegarder toutes les données non placées sur un système via une réinstallation vers un autre emplacement.

Deuxièmement, après la réinstallation, assurez-vous que tout compte qui a un mot de passe a un mot de passe très sécurisé. Utilisez quelque chose comme keepass pour générer une longue chaîne aléatoire pour tous les mots de passe autres que celui que vous utilisez pour votre utilisateur principal. J'utilise plus de 16 mots de passe de caractères aléatoires, même sur des machines inaccessibles de l'extérieur de mon pare-feu, et mes hôtes bastion ont maintenant plus de 24 ans, car il ne faut jamais se connecter directement en tant que root (cela n'inclut pas l'utilisation de clés ssh autorisées), ni utiliser su. Si vous devez le faire pour autre chose qu'une grave urgence, vous faites quelque chose de mal.

Enfin, en ce qui concerne les clés SSH ... toutes les clés que j'utilise dans l'ouest sauvage d'Internet lui-même, je n'en utilise jamais moins que les clés de 2048 bits, et j'utilise principalement 4096 bits ou plus.

Tout cela ne vous protégera pas contre l'accès root via la porte dérobée via un processus tel que sendmail (comme je l'ai fait il y a des années lorsque je était responsable de UN * X chez CompuServe), puis en changeant un mot de passe, pour ensuite passer par la porte d'entrée, cela ne vous protégera pas non plus contre un logiciel malveillant que vous avez fini par exécuter sur la machine pour ouvrir les choses, mais cela ira un excellent moyen de renforcer votre système.

Oh ... et toute cette affaire sur l'usurpation DNS inversée ... c'est une des raisons pour lesquelles les fichiers de données utilisés par des commandes comme last incluent souvent l'adresse IP, et pourquoi tous les journaux des services doivent également enregistrer l'adresse IP. Un last -i affichera l'adresse IP elle-même, et ne fera pas le DNS inversé. D'autres commandes ont des indicateurs similaires.

Vous dites qu'il ne faut jamais utiliser l'utilisateur root ou su.Parfois, j'ai dû éditer des fichiers système (dans `/ etc`), alors comment feriez-vous?
utilisez root ou su pour les besoins moins fréquents, mais uniquement ceux-là.
Skaperen
2016-09-21 13:06:05 UTC
view on stackexchange narkive permalink

Je serais inquiet si le vrai FBI était aussi incapable de faire une telle erreur. Les vrais hackers supposeraient que vous reconstruirez s'ils laissent connaître leur présence. Ce sont des enfants ou des aspirants bâclés qui jouent.



Ce Q&R a été automatiquement traduit de la langue anglaise.Le contenu original est disponible sur stackexchange, que nous remercions pour la licence cc by-sa 3.0 sous laquelle il est distribué.
Loading...