Skocz do zawartości
jambos

Włamanie na serwer,Dostep do roota co robić ?

Polecane posty

Witam niestety otóż dzisiejszej nocy stała się bardzo przykra ale ucząca dla mnie rzecz. Około godziny 4/5 rano ktoś zalogował się do mojego dedyka z dostępem roota .. około 5.30 rozpoczęły się ataki DOS z mojego serwera po około 15 minutach ovh go zablokowało i następnie wprowadziło w stan "OVH Anti-Hack rescue" Mam kopie wszystkich plików oraz systemu z przed paru dni.Dystrybucja Debian 8.1. Teraz pytanie co robić ? gdzie co posprawdzać czy nie ma niespodzianek ? czy raczej trzeba stawiać od nowa serwer/odtworzyć system z backupu?

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Gość Kamikadze

Zabezpieczałeś jakoś serwer?

Podstawowo to fail2ban, blokowanie portów, zmiana portu ssh itd.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

System raczej do reinstalacji. Jeżeli ktoś miał dostęp to mógł Ci narobić niezłego syfu w systemie i nie będziesz w stanie znaleźć gdzie. Mógł nawet zmodyfikować pliki systemowe aby później móc ponownie przejmować kontrolę czy dalej wysyłać DOS-y. Po takiej akcji jedynie reinstalacja jest gwarantem, że serwer będzie ponownie bezpieczny.

Edytowano przez Suspect121 (zobacz historię edycji)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Jak wyżej, reinstalacja jest obowiązkowa, a zanim to zrobisz warto poszukać poszlak co mogło pójść nie tak, ja bym spakował całe /var/log do tara, przesłał do siebie do późniejszej analizy, a potem reinstall.

Edytowano przez Archi (zobacz historię edycji)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Jeśli ktoś w miarę myślący się tam włamał, to raczej logów nie będzie ;)

 

 

Jak wyżej polecam rsysloga - ciekawostka - przy dziwnych "padach" maszyny rsyslog potrafi powiedzieć więcej niż zwykły log - w sensie później się ucina ;)

Edytowano przez Kszysiu (zobacz historię edycji)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

PFF LOGI ;D

 

 

 

Jak ktoś się loguje z kompa (przeważnie winda...) przętego to nawet ssh dostępne tylko po vpnie nic nie da.

 

 

 

Ostatnio w modzie jest podmiana binarek (praktycznie nienamierzalna z logów na czystym systemie, bez daemonów pilnujących typu etc keeper ). Patrzysz proces odpalony (przeważnie kluczowy typu iptables - porządny admin nie pozwoli sobie raczej na wyłączenie go) myślisz - wporzo ;-), a tu z niego chinol ma dostęp.

 

Jest to wręcz arcydzieło, podmieniąjąc praktycznie wszystkie binarki w logach nic nie ma bo binara sama decyduje co logować ^^

 

Naturalnie zmiana haseł nie pomoże bo proces iptables (ten zarażony) w przeciągu 2 minut wyśle nowe hasło :P

 

 

I przyznam otwarcie, nigdy takiego hosta nie ratowałem, leciałem windowsowo - FORMAT FORMAT FORMAT

 

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Nie tylko iptables.. bo i sshd, httpd, cron, crond, itp

Binarka sobie działa i nasłuchuje, bądź też atakuje. Prawie nie podpada poza sporym użyciem procka i czasem działania, a także tym, że przeważnie działa na jakimś userze, na którym nie powinna.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Bądź aktywny! Zaloguj się lub utwórz konto

Tylko zarejestrowani użytkownicy mogą komentować zawartość tej strony

Utwórz konto

Zarejestruj nowe konto, to proste!

Zarejestruj nowe konto

Zaloguj się

Posiadasz własne konto? Użyj go!

Zaloguj się


×