我怎麼知道黑客是如何訪問我的機器的？

我擁有一台專用機器，今天我收到主機發來的一封電子郵件，說如果我不停止濫用網路，我的伺服器將被阻止。我不是垃圾郵件發送者或黑客。有人在用我的機器做惡作劇。他們在電子郵件中附上了一條說明，顯示以下內容。

##########################################################################    
#               Netscan detected from host  178.63.xxx.xxx               #
##########################################################################

time                protocol src_ip src_port          dest_ip dest_port

---------------------------------------------------------------------------
Sat Oct  4 11:24:09 2014 TCP  178.63.xxx.xxx 26217 =>      94.xxx.xxx.0 22
Sat Oct  4 11:24:09 2014 TCP  178.63.xxx.xxx 26217 =>      94.xxx.xxx.4 22
Sat Oct  4 11:24:09 2014 TCP  178.63.xxx.xxx 26217 =>     94.xxx.xxx.41 22
Sat Oct  4 11:24:09 2014 TCP  178.63.xxx.xxx 26217 =>     94.xxx.xxx.61 22
Sat Oct  4 11:24:09 2014 TCP  178.63.xxx.xxx 26217 =>     94.xxx.xxx.80 22

我檢查了我的系統日誌，它在與上述相同的時間提到了以下內容。注意帶有 **s 的行。‘設備進入混雜模式’

##################

Oct  4 11:20:01 v7 CRON[18962]: (cap) CMD (cd /var/tmp/ ; ./ps x >/dev/null 2>&1)
**Oct  4 11:24:34 v7 kernel: [7144175.421969] device eth0 entered promiscuous mode**
Oct  4 11:30:01 v7 CRON[19075]: (cap) CMD (cd /var/tmp/ ; ./ps x >/dev/null 2>&1)
**Oct  4 11:31:31 v7 kernel: [7144591.716996] device eth0 left promiscuous mode**
Oct  4 11:31:31 v7 kernel: [7144592.377159] ssh-scan[19234]: segfault at 0 ip 0000000008048e33 sp 00000000ffa39110 error 4 in ssh-scan[8048000+c0000]

###################

我也注意到了很多：

#############

Oct  4 11:31:47 v7 kernel: [7144607.756445] ssh-scan[19178]: segfault at 0 ip 0000000008048e33 sp 00000000ffa39110 error 4 in ssh-scan[8048000+c0000]
Oct  4 11:31:50 v7 kernel: [7144611.372464] ssh-scan[19725]: segfault at 0 ip 0000000008048e33 sp 00000000ffa39110 error 4 in ssh-scan[8048000+c0000]
Oct  4 11:31:52 v7 kernel: [7144613.062509] ssh-scan[19326]: segfault at 0 ip 0000000008048e33 sp 00000000ffa39110 error 4 in ssh-scan[8048000+c0000]
Oct  4 11:31:53 v7 kernel: [7144614.091379] ssh-scan[19704]: segfault at 0 ip 0000000008048e33 sp 00000000ffa39110 error 4 in ssh-scan[8048000+c0000]
Oct  4 11:31:53 v7 kernel: [7144614.121336] ssh-scan[19747]: segfault at 0 ip 0000000008048e33 sp 00000000ffa39110 error 4 in ssh-scan[8048000+c0000]
Oct  4 11:31:53 v7 kernel: [7144614.377344] ssh-scan[19727]: segfault at 0 ip 0000000008048e33 sp 00000000ffa39110 error 4 in ssh-scan[8048000+c0000]
Oct  4 11:31:53 v7 kernel: [7144614.404263] ssh-scan[19712]: segfault at 0 ip 0000000008048e33 sp 00000000ffa39110 error 4 in ssh-scan[8048000+c0000]
Oct  4 11:31:54 v7 kernel: [7144614.557179] ssh-scan[19708]: segfault at 0 ip 0000000008048e33 sp 00000000ffa39110 error 4 in ssh-scan[8048000+c0000]
Oct  4 11:31:54 v7 kernel: [7144614.673588] ssh-scan[19709]: segfault at 0 ip 0000000008048e33 sp 00000000ffa39110 error 4 in ssh-scan[8048000+c0000]
Oct  4 11:31:54 v7 kernel: [7144614.678058] ssh-scan[19749]: segfault at 0 ip 0000000008048e33 sp 00000000ffa39110 error 4 in ssh-scan[8048000+c0000]
Oct  4 11:31:54 v7 kernel: [7144615.195993] ssh-scan[19711]: segfault at 0 ip 0000000008048e33 sp 00000000ffa39110 error 4 in ssh-scan[8048000+c0000]

#########

現在我該怎麼辦？我如何知道黑客如何訪問我的機器以及如何阻止這種情況發生？

另一方面，幾個月前發生了類似的事件，當時我的主人說我安裝的 elasticsearch 可能是安全漏洞的問題。我解除安裝了elasticsearch，因為我沒有使用它並更改了root密碼。

非常感謝調查此問題的任何幫助。

謝謝

更新 1

我跑了who -u，我看到以下內容

root     hvc0         Jul 13 18:55  old          728
deployer pts/0        Oct  4 11:19 04:08       18836 (240.50.134.37.dynamic.jazztel.es) (IS THIS THE HACKER?)
root     pts/3        Oct  4 14:53   .         14794 (122.174.xxx.xxx) (THIS IS MY IP)

這是一個很難回答的問題，因為通常沒有一件事情是你應該做的。相反，您從各種來源收集資訊，查看您擁有的資訊並進一步跟踪這些線索。仍然有一些想法：

我在您提供給我們的資訊中看到的重要資訊包括：

• 已經安裝了一個 cron 作業，並且您知道它執行的時間
• cron 作業執行已安裝或已安裝的程序/var/tmp/ps
• 一個名為的程序ssh-scan一直在執行並且反復出現段錯誤。看起來這發生在 cron 作業執行之後

到目前為止還沒有很多事情要做，但要尋找有用的時間戳。

• 的創建和修改時間/var/tmp/ps
• 作業執行的 cron 文件的修改時間。

幸運的是，這些時間戳可能對應於您的機器被破壞的時間，在這種情況下，您可以更了解在日誌中的何處查找有關實際破壞的資訊。

某處存在或曾經有系統辨識為 的程序ssh-scan。用 尋找它locate。程序執行後可能會重命名自己，但在這種情況下，程序ssh-scan內部可能包含文本，在這種情況下，您可以使用 grep 找到它。

查看 .bash_history 文件之類的內容以了解crontab,ps和ssh-scan. 如果黑客留下了命令歷史記錄，那可能會幫助您找到它。

查看列出的條目last是否有任何異常。

查看 /var/tmp/ps 的內容。如果它是二進製文件，請查看strings /var/tmp/ps.

• 黑客在他們的程序中辨識自己的情況非常普遍，但該文件的作者不一定是入侵您機器的人
• 它可能是該文件中看起來很有趣的東西，或者該文件的 md5 校驗和可以通過 google 找到。

希望以上內容會帶來一些新的線索。

攻擊者將程序放在 /var/tmp 中，並且能夠打開和關閉介面的混雜模式，這意味著他們具有 root 訪問權限。雖然您可能能夠確定進入點，但您不太可能確定您已經關閉了他們的訪問權限。您可能應該重新安裝伺服器，並且非常小心您正在復製到新伺服器的內容。了解黑客的所作所為可能對了解您不應該複製的內容非常有用。盡可能從受感染系統之外的可信來源重新安裝。

黑客可能仍然可以訪問。他們可能會嘗試刪除證據，可能會非常具有破壞性，因此請確保所有內容都有備份。瀏覽所有後門的條目cron。at使用防火牆，盡可能鎖定訪問，包括限制對一組盡可能小的遠端 IP 的訪問（例如，只允許來自指定 IP 的 ssh 訪問）。如果您的主機有權訪問其他任何內容，請盡可能限制它。

最後但並非最不重要的一點是，考慮從更有經驗的人那裡獲得專業幫助。

$$ EDIT In response to your edit $$ 那很可能是你的攻擊者。它也可能是一個已經被黑客控制的中介系統。這樣的安排可能很複雜，很難追踪，但也有很多頭腦簡單的黑客。

完成備份後，請聯繫 jazztel.es 的管理員。沒有域名的whois .es，但我認為您想要的地址是abuse@jazztel.com。他們可能會關閉它們，並可能幫助將事情擺在警察面前。

$$ EDIT Another addition $$ 在您的伺服器可能擁有的各種特權訪問中，如果您習慣將 ssh 代理連接轉發到您的伺服器，請立即停止。它很容易被在您的伺服器上具有 root 訪問權限的人濫用，儘管只要您的 ssh 會話已連接。

引用自：https://serverfault.com/questions/633538