Debian analiza powłamaniowa

[Mackos 0]

Hej,
No i stała się drobna wpadka.
Miałem VPS'a wykupionego tylko dla deweloperskich zastosowań w tym svn'a.
No i 18 czerwca ktoś - na tyle co wypatrzyłem - jakiś bot, wlazł mi na konto roota i prawdopodobnie puścił phishing bo na pewno postfix był w użyciu.
Jako że po raz pierwszy przychodzi mi zabrać się za analizę strat, powiedzcie od czego mniej więcej zacząć, które logi zachować zanim przeinstaluje cały system?

I jakby ktoś się orientował - jak wytłumaczyć się u wujka google żeby nie pokazywał w przeglądarkach czerwonego ekranu?

[Gość patrys]

Logi to trzeba przejrzeć jeżeli takowe zostały po przejęciu root'a.

Kwestia czerwonego ekranu - narzędzia dla webmasterów google.

[Mackos 0]

Wiesz co to był bot, więc wiele nie narobił, próbował się dobrać do baz mysql ale z tego co widzę marnie mu poszło. (z resztą itak nie było w nich realnych danych w końcu devel), no i puszczał maile - nie do końca wiem czy jestem w stanie sprawdzić jakie maile ?
Wiem że łączył się ode mnie z adresem: 178.15.152.69

[Pan Kot 1535]

Maile powinny być w /var/log/mail.log , o ile bot był na tyle głupi, że ich nie wyczyścił.

Co do roota więcej Ci powie /var/log/auth.log

 

Generalnie jeśli chcesz coś zachować odnośnie tego to skopiuj sobie zawartość /var/log/* - nic innego i tak Ci nie pomoże.

[Mackos 0]

Ok, phishing był na ebay.
Bot był bardzo ubogi zostawił śladów dość dość nawet nie usunął fake'owej strony.
Wszystkie maile z hasłami były wysyłane na adres:

 

franta.tommy@gmail.com

Pytanie za milion punktów: jak najszybciej sprawdzić czy i które pliki były kopiowane?
Zastanawiam się ile sobie gość skopiował aplikacji które mam. Jedną na bank próbował atakować po domenie bo cloudflare odbiło jego ip.