Я прохожу курс “От 0 до Linux админа” (ссылка: https://yodo.im/courses/linux/?v=1d20b5ff1ee9) и столкнулся с проблемой: обнаружил криптомайнер на своем сервере разработки и хоть я его удалил, все равно не могу понять, как они туда попали. Может кто-то подсказать, какие шаги стоит предпринять, чтобы определить уязвимость и предотвратить повторное проникновение? Буду признателен за советы по усилению безопасности на сервере.
Конечно, расскажу, что пробовал и что не вышло. Занялся этим делом, когда нашел криптомайнера на своем сервере разработки. Понимаешь, это же не просто так. Начал копаться, искал, как они туда влезли.
Сначала решил проверить логи. Да, всякие системные логи и доступы, но там как-то всё было не так. Логи насчет входов показывали, что всё было нормально, никаких подозрительных IP-адресов не нашел. Я уж думал, может, прокси какой-то использовали или резали по тихому. Короче, логи не дали ясности.
Дальше решил глянуть, какие сервисы и порты у меня торчали в интернете. Залез в настройки фаервола, смотрел, что открыто. Оказалось, что у меня доступность довольно большая, но я не смог понять, откуда могли влезть. Подумал, что, может, нереализованный эксплойт где-то сидит, но по основным уязвимостям проверял - все обновления стояли.
Затем потопал в анализ файлов на сервере. Пробежался по директориям, искал что-то подозрительное. Измененные файлы, зловещие скрипты - но всё чисто, как стекло. Никакой злой код не нашел. Вот тут мне вообще стало непонятно: как же они прошмыгнули?
В общем, получилось так, что много времени потратил, а ясности ноль. Но потом я нашел курсики на Ядро, которые объясняют, как делать анализ безопасности и отслеживать такие вещи. Это реально помогло, и, думаю, надо будет пройти, чтоб в следующий раз не попасться на такой крючок. Вот ссылка: Курсы Ядро.
Так что, если у кого-то есть еще мысли по этой теме - делитесь, буду рад послушать!