如果“FBI”登录了我的 Ubuntu VPS,我应该担心吗?

信息安全 linux SSH 欺骗 系统妥协
2021-08-24 23:18:34

昨天,我正在使用我的主机提供的 IPMI 控制台对我的 VPS 进行一些常规维护。

通过 IPMI 控制台再次设置 SSH 密钥后,我通过 SSH 登录并震惊地看到:

Welcome to Ubuntu 14.04.2 LTS (GNU/Linux 2.6.32-042stab116.2 x86_64)
Documentation:  https://help.ubuntu.com/
Last login: Sat Sep 17 04:39:57 2016 from ic.fbi.gov

我立即联系了我的托管公司。他们说他们不知道为什么会这样,并且主机名可能被欺骗了。

我做了更多的挖掘,并将 ic.fbi.gov 解析为一个 IP 地址。

然后我在系统上运行了这个:

last -i

这返回了我的 IP 地址,然后是我不知道的另外两个 IP 地址。我对这两个 IP 地址进行了 geoIP。其中一个是 VPN,另一个是华盛顿州一家托管公司的服务器。

同样,我将 ic.fbi.gov 解析到的 IP 不在列表中。

您认为我应该担心/担心“FBI”获得访问我的 VPS 的权限吗?还是只是一个欺骗主机名的黑客?

4个回答

任何控制该 IP 地址的人都可以在 DNS 中设置 IP 地址以解析为任何主机名。

例如,如果我控制了网络块 203.0.113.128/28,那么我可以将 203.0.113.130 设置为反向解析为presidential-desktop.oval-office.whitehouse.gov. 我不需要控制whitehouse.gov来执行此操作,尽管它在某些情况下会有所帮助(特别是使用任何检查以确保反向和正向分辨率匹配的软件)。这并不意味着美国总统登录了您的 VPS。

如果有人可以访问您的系统,他们可以更改解析器配置,这将使他们能够有效地将任何名称解析为任何 IP 地址,或将任何 IP 地址解析为任何名称。(如果他们拥有该级别的访问权限,他们也可以对您的系统造成各种其他破坏。)

除非并且直到您验证用于登录的 IP 地址实际上已注册到 FBI,否则不要担心主机名是fbi.gov. 该名称映射很可能是伪造的。相反,请担心您无法解释从您不认识的 IP 地址成功登录您的帐户。

很有可能,如果 FBI 想要您的 VPS 上的数据,他们会使用一种不太明显的方法来获取它。

您应该担心,但不必担心 fbi.gov 主机名。

去阅读如何处理受损的服务器?关于服务器故障,您如何向管理层和用户解释“将其从轨道上摧毁”的必要性?这里是信息安全。真的,做吧。现在做; 不要把它关掉。

如果有人未经授权访问您的服务器,我认为您必须担心。正如其他人所提到的,伪造反向 DNS 主机名没有太多工作。也许他们希望您相信政府机构可以访问您的服务器,这样您就不会再调查此事件了。

您应该备份所有服务器日志以供日后分析,最好重建服务器以消除受损服务器可能导致的任何风险。之后,您(在专家的帮助下)应该使用安全最佳实践和预防措施设置服务器。

那么如果是 FBI,你应该担心,或者如果它只是一些随便的黑客也可以吗?从日志中,有人成功登录到您控制的主机。无论是谁,都应该假定它受到了损害。报废它并重建。

还要记住,任何控制特定 IP 块的人都可以创建反向 DNS 条目。它不需要解析到他们控制的东西,即,如果我控制一个 IP 块,我可以为我选择的任何人创建一个反向条目。反向和正向条目不必匹配,它们通常由不同的人维护。

用火杀死它。像昨天。

FBI DITU 或任何 Alphabet Soup 的任何其他网络部门(包括陆军网络司令部)从事简单地从 fbi.gov 访问您的系统的业务,有人在开你的玩笑 - 没有认真的调查员 / TF 在做明显的事情。

您需要担心的是,拥有高于平均水平的skiddie知识的人如何访问您的VPS并做到这一点。

回到第一点:摧毁它。

其它你可能感兴趣的问题
上一篇崩溃和幽灵攻击 下一篇“烧掉一个零日”是什么意思?