Debian forensics

на сервере установлен GitLab Community Edition версии 15.2.2. можно узнать из /opt/gitlab/LICENSE

злоумышленник использовал RCE уязвимость в GitLab. это критическая CVE-2022-2884

у пользователя git(из под которого запущен GitLab) есть право запускать git через sudo от root без пароля
на программе /usr/bin/git стоит SETUID бит. то есть, при запуске любым пользователем, git будет исполняться под root
разрешен вход по паролю под пользователем root по ssh. в /etc/ssh/sshd_config: PermitRootLogin yes

злоумышленник использовал первую мисконфигурацию из вопроса 3

злоумышленник добавил в доверенные для пользователя root ssh-ключи свой ключ:

ssh-ed25519 AAAAC3NzaC1lZDI1NTE5AAAAIIKXFjUp2LlKAsLvM1PZE7CYEfztiZrOf8PHx9ja1mu2 amongus@debian

злоумышленник использовал linpeas. В папке /tmp был файл linpeas.txt. из /root/.bash_history мы узнаем что этот файл был удален

злоумышленник использовал руткит Jynx2

Provide feedback