Frage:
Sollte ich mir Sorgen machen, wenn sich das "FBI" bei meinem Ubuntu VPS angemeldet hat?
lol what is this
2016-09-18 19:38:09 UTC
view on stackexchange narkive permalink

Gestern habe ich einige allgemeine Wartungsarbeiten an einem meiner VPS unter Verwendung der von meinem Host bereitgestellten IPMI-Konsole durchgeführt.

Beim erneuten Einrichten der SSH-Schlüssel über die IPMI-Konsole habe ich mich über SSH angemeldet und war schockiert, dies zu sehen: 

  Willkommen bei Ubuntu 14.04.2 LTS (GNU / Linux 2.6.32-042stab116.2 x86_64) Dokumentation: https://help.ubuntu.com/Last Login: Sa Sep 17 04:39:57 2016 von ic.fbi.gov

Sofort kontaktierte ich meine Hosting-Firma. Sie sagten, dass sie nicht wussten, warum dies sein könnte, und dass es möglich ist, dass der Hostname gefälscht wurde.

Ich habe ein bisschen mehr gegraben und ic.fbi.gov in eine IP-Adresse aufgelöst.

Ich habe dies dann auf dem System ausgeführt: 

  last -i

Dies gab meine IP-Adresse und dann zwei andere IP-Adressen zurück, die mir unbekannt waren. Ich habe diese beiden IP-Adressen geoIPed. Einer von ihnen war ein VPN und der andere ein Server eines Hosting-Unternehmens im Bundesstaat Washington.

Auch hier war die IP, zu der ich ic.fbi.gov aufgelöst habe, nicht auf der Liste.

Meinst du, ich sollte besorgt sein, dass das "FBI" Zugang zu meinem VPS erhält? Oder ist es nur ein Hacker, der den Hostnamen gefälscht hat?

Es ist eindeutig jemandes Idee eines Witzes.Worüber Sie sich wirklich Sorgen machen sollten, ist das, was jemand getan hat, nachdem er eingestiegen ist. Nuke den gesamten VPS aus dem Orbit.Nur so können Sie sicher sein.
Ich bin bei @MichaelHampton,, hier wird die falsche Frage gestellt.Sie sollten sich Sorgen machen, dass sich jemand anders als Sie angemeldet hat.
"Glaubst du, ich sollte besorgt / besorgt sein, dass das" FBI "Zugang zu meinem VPS erhält?"Zum Glück war es nicht das FBI, denn eine Untersuchung des Bundes kann Ihr Leben wirklich beeinträchtigen, selbst wenn Sie mit nichts belastet werden.
Wenn Sie (später) ein Popup erhalten, normalerweise mit Rechtschreib- und Grammatikfehlern, dass Ihre Dateien "gesiebt" wurden, weil sie an "Straftaten" wie Kinderpornografie und Terrorismus beteiligt sind, aber Sie können sie zurückerhalten, indem Sie eine "Geldstrafe" zahlen"Innerhalb weniger Stunden in BTC ist das auch nicht wirklich das FBI, das sind einige Verbrecher.
Relevant: https://serverfault.com/questions/218005/how-do-i-deal-with-a-compromised-server
Hätten Sie bemerkt, dass das Datum falsch war, wenn stattdessen nur eine IP-Adresse angezeigt wurde?Irgendwie ironisch.
@MichaelHampton: "Es ist eindeutig jemandes Idee eines Witzes" - möglicherweise die der NSA ;-)
Sie verbanden sich offensichtlich von "FBI Surveillance Van # 5"
Das FBI ist nicht dumm genug, das zu tun.Ich hoffe...
Sie haben eine gute Meinung zu Regierungsorganisationen.Ihre Mitarbeiter werden nicht so viel bezahlt wie die Mitarbeiter privater Unternehmen, und sie haben andere Sorgen.Es tut mir leid, aber Sie sind nicht * so * wertvoll als potenzieller Verdächtiger, für den Sie Steuergelder ausgeben können.
Es ist wahrscheinlich ein Hacker, der Ihnen entweder einen Streich spielen oder versuchen wollte, Sie glauben zu lassen, dass das FBI schuld war, damit Sie das Problem vielleicht nicht untersucht haben ...
Vielleicht möchten Sie dies sogar dem * echten * FBI melden.Sie kümmern sich um Hacker.Natürlich haben Sie Ihr System inzwischen zerstört und die Beweise sind verschwunden ... Lassen Sie mich das noch einmal in Phase bringen.Sie kümmern sich vielleicht nicht darum, dass Sie gehackt werden, aber sie kümmern sich wahrscheinlich darum, dass Leute so tun, als wären sie sie ...
Wenn Sie ausreichend paranoid sind, werden Sie feststellen, dass das FBI vorgibt, ein Hacker zu sein, der vorgibt, das FBI zu sein.Diese klugen Teufel!
Obwohl es in keiner Antwort erwähnt wurde, sollte angemerkt werden, dass die Auflösung in diesem Bereich eine große Ablenkung durch Rauch und Spiegel vom eigentlichen Problem verursachte.
`... besorgt um das" FBI "...` Haben Sie ernsthafte Dinge, die das FBI betreffen?Würden Sie sich mehr Sorgen machen über (a) das FBI oder (b) eine unbekannte Person, die sich sowohl bei Ihrem System anmelden als auch die Namensauflösung für Sie vergiften kann?
@jmk Was ist los mit dem Datum?
@TylerH Entschuldigung Ich meinte den Teil dieser Zeichenfolge, der einen Domainnamen zeigt
Durchsuchen Sie Ihr Zugriffsprotokoll, hoffentlich drehen Sie die letzten 12 Monate, um zu sehen, wie lange dies schon läuft ... überprüfen Sie den Zeitstempel auf / etc / hosts, während Sie gerade dabei sind.Wer stellt Ihren VPS zur Verfügung?Haben sie mindestens Zugang zur Backdoor-Wartung?Ich nehme an, dass das Passwort nicht für undichte Websites üblich ist, zusammen mit einem Host, der E-Mail, Benutzernamen oder Adresse identifiziert (Querverweis auf whois).auth.log für den Zeitstempel, um zu bestätigen, was Sie können .....
"Oder ist es nur ein gelegentlicher Hacker, der den Hostnamen gefälscht hat?"Genau.Und wenn dies das FBI war, glauben Sie nicht, dass sie einen schrecklichen Job gemacht haben, indem sie eine Spur wie diese hinterlassen haben?Angesichts der Tatsache, wie viele Cloud-Server es gibt, wäre ich ziemlich zuversichtlich, dass ein echter Hack durch eine Regierungsbehörde über einen Proxy ausgeführt wird, der irgendwo auf einem neutralen System gehostet wird.
@dave_thompson_085, aber wenn es keine Rechtschreibfehler gibt oder sie stattdessen nach DogeCoin fragen, * dann * ist es das FBI.
Sie sollten sich um Ihr ** Passwort ** sorgen !!!!!!!!!!!!!!!!!!!!!!!!Das eigentliche Problem ist, dass sich ** jemand ** angemeldet hat!
Zehn antworten:
a CVn
2016-09-18 19:56:12 UTC
view on stackexchange narkive permalink

Eine IP-Adresse kann in DNS so eingerichtet werden, dass sie von jedem, der die Kontrolle über diese IP-Adresse hat, in einen beliebigen Hostnamen aufgelöst wird.

Wenn ich beispielsweise die Kontrolle über den Netblock 203.0.113.128 habe / 28, dann kann ich 203.0.113.130 einrichten, um die Auflösung in Presidential-Desktop.oval-office.whitehouse.gov umzukehren. Ich brauche dazu keine Kontrolle über whitehouse.gov , obwohl dies in einigen Situationen hilfreich sein kann (insbesondere bei jeder Software, die überprüft, ob die Auflösung in umgekehrter und vorwärts gerichteter Auflösung mit em übereinstimmt) >). Das würde nicht bedeuten, dass sich der Präsident der Vereinigten Staaten bei Ihrem VPS angemeldet hat.

Wenn jemand Zugriff auf Ihr System hat, kann er die Resolver-Konfiguration ändern, sodass er jeden Namen in eine beliebige IP-Adresse auflösen kann Adresse oder eine beliebige IP-Adresse für einen beliebigen Namen. (Wenn sie über diese Zugriffsebene verfügen, können sie auch alle möglichen anderen Schäden an Ihrem System anrichten.)

Es sei denn und bis Sie überprüfen, ob die IP-Adresse, mit der Sie sich angemeldet haben, tatsächlich registriert ist Das FBI macht sich keine Sorgen, dass der Hostname unter fbi.gov steht. Diese Namenszuordnung kann sehr gut gefälscht sein. Sorgen Sie sich stattdessen, dass eine erfolgreiche Anmeldung in Ihrem Konto stattgefunden hat, die Sie nicht erklären können, und zwar von einer IP-Adresse, die Sie nicht kennen.

Chancen Wenn das FBI die Daten auf Ihrem VPS haben wollte, würde es einen etwas weniger offensichtlichen Ansatz verwenden, um sie zu erhalten.

Sie sollten sich Sorgen machen, aber nicht Informationen zum Hostnamen fbi.gov.

Lesen Sie Wie gehe ich mit einem kompromittierten Server um? bei Serverfehler und Wie geht das? Sie erklären Management und Benutzern die Notwendigkeit, sie aus dem Orbit zu entfernen? hier zu Informationssicherheit. Wirklich, mach es. Mach es jetzt; Verschieben Sie es nicht.

Oder eine etwas offensichtlichere, juristische.
[Wie ein 5-Dollar-Schraubenschlüssel.] (Https://xkcd.com/538/)
@undo Möglicherweise.Ich dachte an eine Art [NSL] (https://en.wikipedia.org/wiki/National_security_letter), die auf die ISP gerichtet war.
Nun, diese FBI-Leute verwenden alle möglichen Techniken und Verkleidungen, um Informationen und / oder Beweise über irgendetwas oder irgendjemanden zu sammeln.Dies mag zwar sehr unschuldig und / oder zufällig erscheinen, aber machen Sie keinen Fehler, dass sich, wie Michael Kjorling sagte, jemand ohne Ihre Erlaubnis und Ihr Wissen erfolgreich bei Ihrem VPS angemeldet hat.
Sie brauchen wirklich keine Kontrolle über den IP-Block, um das Reverse-DNS dafür festzulegen.Sie müssen lediglich den DNS-Server / die Hostdatei / den anderen Mechanismus zur Namensauflösung des Computers steuern, der die IP-Adresse auflöst.Sie müssen den IP-Block nur besitzen, wenn Sie den Namen auf den offiziellen DNS-Servern festlegen möchten.Der Hacker könnte beispielsweise einen DNS-Server (entweder auf Ihrer Box oder anderswo) eingerichtet haben, um Ihren Computer für die Namensauflösung zu verwenden, sich erneut anzumelden und dann die Einstellung Ihres Nameservers zurück zu ändern.
Wenn Sie den DNS-Server steuern, können Sie eine beliebige Vorwärts- oder Rückwärtssuche nach Belieben durchführen.Vor einigen Jahren stellte ein Mitarbeiter einmal fest, dass google.com zu einem Webserver aufgelöst wurde, der ihn zu einem bestimmten YouTube-Video mit Mr. Astley weiterleitete.:) :)
Um einen bestimmten wahrscheinlich nicht russischen zu paraphrasieren: ["Gott. DNS-Server. Was ist der Unterschied?"] (Http://ars.userfriendly.org/cartoons/?id=19981111)
@reirab Ja.Vor einigen Jahren stellte ich bei der Remote-Fehlerbehebung für einen Kunden in Neuseeland fest, dass der "Loopback" in eine geografische Adresse in Hongkong aufgelöst wurde.Sie können Ihr Leben nicht auf einen Hostnamen setzen.
Koorosh Pasokhi
2016-09-18 20:26:57 UTC
view on stackexchange narkive permalink

Ich denke, Sie MÜSSEN besorgt sein, wenn jemand unbefugten Zugriff auf Ihren Server hat. Wie andere bereits erwähnt haben, gibt es nicht viel Arbeit, um den Namen des Reverse-DNS-Hosts zu fälschen. Vielleicht möchten sie, dass Sie glauben, dass es für eine Regierungsbehörde in Ordnung ist, Zugriff auf Ihren Server zu haben, damit Sie den Vorfall nicht mehr untersuchen.

Sie sollten alle Ihre Serverprotokolle für eine spätere Analyse sichern und Ihren Server vorzugsweise neu erstellen um alle Risiken auszuschließen, die ein kompromittierter Server verursachen könnte. Danach sollten Sie (mit Hilfe eines Experten) den Server mit bewährten Sicherheitsmethoden und Vorsichtsmaßnahmen einrichten.

s3c
2016-09-18 20:00:59 UTC
view on stackexchange narkive permalink

Sollten Sie sich also Sorgen machen, wenn es das FBI war, oder ist es in Ordnung, wenn es nur ein gelegentlicher Hacker war? In den Protokollen hat sich jemand erfolgreich bei einem Host angemeldet, den Sie steuern. Es sollte davon ausgegangen werden, dass es kompromittiert ist, unabhängig davon, wer es war. Verschrotten Sie es und erstellen Sie es neu.

Beachten Sie auch, dass jeder Benutzer, der die Kontrolle über einen bestimmten IP-Block hat, einen umgekehrten DNS-Eintrag erstellen kann. Es muss nicht in etwas aufgelöst werden, das sie kontrollieren, dh wenn ich einen IP-Block kontrolliere, kann ich einen umgekehrten Eintrag für jeden erstellen, den ich wähle. Reverse- und Forward-Einträge müssen nicht übereinstimmen und werden häufig von verschiedenen Personen verwaltet.

VaeInimicus
2016-09-20 16:40:02 UTC
view on stackexchange narkive permalink

Töte es mit Feuer. Wie gestern.

Die FBI-DITU oder eine andere Cyber-Einheit aus einer Alphabetsuppe, die Army CYBERCOM enthält, ist NICHT damit beschäftigt, einfach über fbi.gov auf Ihr System zuzugreifen Spielen Sie einen Witz über Sie - kein ernsthafter Ermittler / TF tut etwas so Offensichtliches.

Sie müssen sich Sorgen machen, wie jemand mit einem überdurchschnittlichen Skiddie-Wissen Zugang zu Ihrem VPS erhalten hat und haben das getan.

Zurück zum ersten Punkt: Zerstöre es.

noɥʇʎԀʎzɐɹƆ
2016-09-23 02:58:40 UTC
view on stackexchange narkive permalink

Nehmen Sie es aus menschlicher Sicht.

Es ist nicht vom FBI. Das FBI weiß besser als das, sich von fbi.gov einzuloggen.

ABER der Hauptpunkt ist , dass jeder, der sich so unbefugt bei Ihrem System anmeldet, untersucht werden sollte. Meine Empfehlung wäre, Ihr System an einen anderen Ort zu verlegen und es durch ein System nur für forensische Analysen zu ersetzen. Wirf einen Honigtopf hinein, um den Hacker abzulenken, damit du seine Bewegungen aufzeichnen kannst.

Sie wissen es jetzt besser, aber selbst sie vermasseln es gelegentlich.Vor fast einem Jahrzehnt, als IE6 noch König war, stellte jemand im Justizministerium IE auf den meisten Desktops und Laptops des DOJ so bereit, dass dem Benutzer eine benutzerdefinierte Zeichenfolge zur Zeichenfolge des Benutzeragenten hinzugefügt wurde.Es war dann möglich, Webserver-Zugriffsprotokolle zu durchsuchen und festzustellen, ob jemand vom DOJ eine Website von einem offiziellen Computer aus besucht hatte, sogar von einem Laptop bei Starbucks.Aktuelle Versionen von IE bieten nicht mehr die Funktionalität, die dies ermöglicht hat.
@MichaelHampton installiert einfach den User Agent Switcher auf Chrome / Firefox
Das Hinzufügen der benutzerdefinierten Zeichenfolge durch @MichaelHampton war höchstwahrscheinlich * kein * Fehler.Im Allgemeinen versuchen US-Regierungsbehörden beim Zugriff auf öffentliche Informationen eines mutmaßlichen US-Unternehmens nicht, die Tatsache zu verbergen, dass sie diese Informationen erhalten.Sie versuchen möglicherweise, diesen Zugriff so explizit wie möglich zu gestalten.
Kate
2016-09-20 07:40:08 UTC
view on stackexchange narkive permalink

Sie haben zwei Möglichkeiten:

  1. Es ist ein Hacker, der Zugriff auf Ihre Anmeldeinformationen hat, um sich bei Ihrem VPS anzumelden.
  2. Das FBI hat Zugriff auf alle Hosting-Server und Sie Sie müssen eine Antwort von Ihrem Hosting-Unternehmen erhalten, aber ich glaube nicht.
    3. ol>

    Analysieren Sie Ihre Sicherungsdateien und prüfen Sie, ob Ihre Konfiguration sicher ist, ob der Root-Benutzer eine Verbindung herstellen kann oder nicht Sie haben einen bestimmten Benutzer für den SSH-Zugriff erstellt oder nicht usw.

    Ändern Sie Ihr SSH-Kennwort und überprüfen und verfolgen Sie jede Woche, ob eine Aktivität auf Ihrem VPS verdächtig ist.

[Wie gehe ich mit einem kompromittierten Server um?] (Https://serverfault.com/q/218005/58408) auf [sf] hat solide Ratschläge.
Klaws
2016-09-20 20:46:14 UTC
view on stackexchange narkive permalink

Normalerweise versucht ein Hacker, seine Identität zu verbergen. Sie verwenden normalerweise keine IP-Adresse für ihre Angriffe, die sich in ihre wahre Identität auflösen. Fbi.gov ist also eine Fälschung.

Andererseits ist bekannt, dass Geheimdienste "versehentlich" die Tatsache auslaufen lassen, dass sie jemanden beobachten, um die Person oder Organisation in Panik zu versetzen , Fehler machen oder einfach aus dem Land fliehen.

Schauen Sie aus dem Fenster. Gibt es einen verdächtig harmlos aussehenden Van, der vor Ihrem Gebäude geparkt ist? Irgendwelche Typen, die wie Agent Smith aus der Matrix aussehen?

Wahrscheinlich nicht.

Angenommen, Ihr System ist kompromittiert. Der Hacker hat vielleicht noch nichts Besonderes, aber es gibt einen Markt für Server, die für illegitime Zwecke verwendet werden können. Es könnte in ungefähr einer Stunde Kinderpornos geben (wenn Sie es noch nicht geschafft haben).

Rui F Ribeiro
2016-09-22 01:20:09 UTC
view on stackexchange narkive permalink

Ich wäre mehr besorgt über die Integrität Ihres Systems als über die Anmeldung des FBI. Beim DNS-Spoofing oder beim Definieren von fbi.gov-Umkehrungen ist es für den Angreifer leider viel einfacher, seine "echte" Adresse mit einem "fbi.gov" in die Adressfelder von / var / log / wtmp und / var / log / lastlog . Die Struktur der Felder dieser Dateien ist seit Jahrzehnten dokumentiert.

Ich würde mir mehr Sorgen darüber machen, dass Sie gehackt werden. Um mit Ihren Protokollen zu spielen, um fbi.gov und echte FBI-Adressen zu pflanzen, ist ein Root-Zugriff für die oben genannten Dateien erforderlich.

Es ist wahrscheinlich, dass Ihr VPS ernsthaft kompromittiert wurde. Entsorgen Sie es und installieren Sie alles erneut.

Doug Needham
2016-09-21 05:15:29 UTC
view on stackexchange narkive permalink

Wie die Leute gesagt haben ... nuke it. Dies ist auch ein guter Grund, warum Sie regelmäßig Daten, die nicht auf einem System gespeichert sind, durch eine Neuinstallation an einem anderen Speicherort sichern sollten.

Stellen Sie zweitens nach der Neuinstallation sicher, dass alle Konten über ein Kennwort verfügen hat ein sehr sicheres Passwort. Verwenden Sie so etwas wie keepass, um eine lange zufällige Zeichenfolge für andere als die für Ihren Hauptbenutzer verwendeten Kennwörter zu generieren. Ich verwende Passwörter mit mehr als 16 zufälligen Zeichen, selbst auf Computern, auf die von außerhalb meiner Firewall nicht zugegriffen werden kann, und meine Bastion-Hosts sind jetzt 24+, da man sich niemals direkt als root anmelden sollte (dies beinhaltet nicht die Verwendung autorisierter SSH-Schlüssel) und auch nicht verwenden sollte su. Wenn Sie für etwas anderes als einen dringenden Notfall etwas tun müssen, machen Sie etwas falsch.

Was schließlich SSH-Schlüssel betrifft ... alle Schlüssel, die ich im wilden Westen des Internets selbst verwende, verwende ich nie weniger als 2048-Bit-Schlüssel und verwenden meistens 4096-Bit oder höher.

All dies schützt Sie nicht vor jemandem, der über einen Prozess wie sendmail Root-Zugriff durch die Hintertür erhält (wie ich es vor Jahren getan habe, als ich es tat) war verantwortlich für UN * X bei CompuServe), änderte dann ein Passwort, um dann in die Haustür zu kommen, und es schützt Sie auch nicht vor Malware, die Sie auf dem Computer ausgeführt haben, um Dinge zu öffnen, aber es wird gehen Eine großartige Möglichkeit, Ihr System zu härten.

Oh ... und diese ganze Sache mit Reverse-DNS-Spoofing ... das ist ein Grund, warum die von Befehlen wie last verwendeten Datendateien häufig die IP-Adresse enthalten und warum Alle Protokolle für Dienste sollten auch die IP-Adresse protokollieren. Ein last -i zeigt die IP-Adresse selbst an und nicht das umgekehrte DNS. Andere Befehle haben ähnliche Flags.

Sie sagen, man sollte niemals den Root-Benutzer oder su verwenden.Gelegentlich musste ich Systemdateien bearbeiten (in `/ etc`). Wie würden Sie das tun?
Verwenden Sie root oder su für die weniger häufigen Bedürfnisse, aber nur für diese.
Skaperen
2016-09-21 13:06:05 UTC
view on stackexchange narkive permalink

Ich wäre besorgt, wenn das echte FBI so inkompetent wäre, einen solchen Fehler zu machen. Echte Hacker würden davon ausgehen, dass Sie neu aufgebaut werden, wenn sie ihre Anwesenheit bekannt geben. Es sind Kinder oder schlampige Möchtegern, die herumspielen.



Diese Fragen und Antworten wurden automatisch aus der englischen Sprache übersetzt.Der ursprüngliche Inhalt ist auf stackexchange verfügbar. Wir danken ihm für die cc by-sa 3.0-Lizenz, unter der er vertrieben wird.
Loading...