Вопрос или проблема
Я только что получил всплывающее окно от OpenSnitch, указывающее на то, что sshd (не ssh) хочет установить исходящее соединение с IP в Китае (120.78.150.45). Всплывающее окно было открыто лишь на короткий срок, поэтому я не успел сделать его скриншот, но у меня есть скриншот панели журнала в OpenSnitch.
Думая, что это может быть вызвано случайным трафиком SSH, я попытался войти со своего телефона по LTE. Это не вызвало повторного появления всплывающего окна.
- Какова может быть причина этого?
sshdобычно получает входящие соединения, а не устанавливает исходящие. - Должен ли я стереть свой диск?
Я проверил /var/log/auth.log и не нашел никаких доказательств входа, хотя это и не является надежным методом обнаружения вторжений.
Ответ или решение
Открыв приложение OpenSnitch, вы получили уведомление о том, что демонтратор SSH (sshd) пытается установить исходящее соединение с IP-адресом в Китае (120.78.150.45). Это вызывает серьезное беспокойство, так как обычно sshd обрабатывает входящие соединения, а не осуществляет исходящие запросы. Ниже приведены возможные причины этого явления и рекомендации по вашему следующему шагу.
Потенциальные причины уходящего соединения от sshd
-
Вредоносное ПО: Наиболее вероятной причиной такого поведения является наличие вредоносного программного обеспечения на вашей системе. Некоторые троянские программы или вредоносные скрипты могут маскироваться под sshd и пытаться установить связь с удаленным сервером для передачи данных или получения команд.
-
Неправильная конфигурация: Существует вероятность, что sshd был неправильно настроен, и он использует какие-либо внешние скрипты или плагины, которые пытаются взаимодействовать с удаленными ресурсами.
-
Уязвимости системы: Возможно, что ваша система была подвержена атаке ранее, и злоумышленник смог установить backdoor, который теперь пытается подключиться к своему серверу.
Ваши действия
1. Проверьте вашу систему на наличие вредоносных программ:
Начните с запуска антивирусного программного обеспечения и инструментов для анализа вредоносных программ, таких как ClamAV или rkhunter. Убедитесь, что ваше антивирусное программное обеспечение обновлено, чтобы обнаружить последние угрозы.
2. Проверьте процессы:
Используйте команду ps aux | grep sshd для определения, работает ли sshd с необычными параметрами. Также проверьте полный путь к исполняемому файлу sshd с помощью which sshd, чтобы убедиться, что это не является подменой.
3. Проверьте конфигурацию sshd:
Изучите конфигурационные файлы sshd (обычно в /etc/ssh/sshd_config) для аномалий или изменений в параметрах, которые могут указывать на вмешательство.
4. Проверьте системные журналы:
Хотя вы уже проверили /var/log/auth.log, также стоит просмотреть другие журналы, такие как /var/log/syslog и /var/log/messages, чтобы обнаружить возможные аномалии или ошибки.
5. Измените пароли и ключи:
Если вы подозреваете, что ваша система могла быть скомпрометирована, измените все пароли, включая пароли для учетных записей пользователей и ключи SSH.
Нужно ли «нукнуть» диск?
6. Оцените уровень риска:
Для ответа на вопрос о форматировании диска, вам следует оценить уровень риска. Если вы действительно обнаружили раздражительное программное обеспечение или отсутствуют доказательства безопасности, возможно, лучшим вариантом будет полное переустановка системы. Это означает удаление всех данных и программ, что значительно снижает риск дальнейших вторжений.
7. Резервное копирование критически важных данных:
Прежде чем принимать решение, создайте резервные копии всех критически важных данных. Убедитесь, что резервное копирование осуществляется с использованием безопасных методов, чтобы не перенести вредоносные программы.
Заключение
Таким образом, вам не следует сразу же «нукать» диск, но необходимо провести тщательное обследование вашей системы. Убедитесь в чистоте вашей системы, прежде чем принимать радикальные меры. Также рекомендуется следить за своим оборудованием, регулярными обновлениями и параллельными техниками безопасности для защиты от будущих потенциальных угроз.