Описана (http://dedic.ru/node/65) комплексная методика восстановления сервера после взлома на уровне модулей ядра, нахождение зараженных бинарников и их замена на примере rpm-based Linux.  В ходе статьи дается ряд полезных замечаний, которые могут препятствовать взлому.

Также опубликована небольшая заметка (http://dedic.ru/node/66) про стресс-тестирование сервера, при подозрении на наличии аппаратных проблем.

URL: http://dedic.ru/node/65
Новость: http://www.opennet.me/opennews/art.shtml?num=5713

• Восстановление сервера после взлома.,Аноним, 23:21 , 01-Июл-05
• Восстановление сервера после взлома.,Lazarenko, 11:47 , 02-Июл-05
• Восстановление сервера после взлома.,SunTech, 12:11 , 02-Июл-05
• Восстановление сервера после взлома.,TaranTuL, 12:25 , 02-Июл-05
• Восстановление сервера после взлома.,Sash, 13:33 , 02-Июл-05
  • Восстановление сервера после взлома.,Sergey, 10:43 , 04-Июл-05
• Восстановление сервера после взлома.,TaranTuL, 14:21 , 02-Июл-05
• Восстановление сервера после взлома.,eSupport.org.ua, 16:31 , 02-Июл-05
• Восстановление сервера после взлома.,Аноним, 19:56 , 02-Июл-05
• Восстановление сервера после взлома.,Аноним, 10:16 , 04-Июл-05
  • Восстановление сервера после взлома.,toor99, 11:34 , 04-Июл-05
• Восстановление сервера после взлома.,lithium, 10:20 , 04-Июл-05
• Восстановление сервера после взлома.,Chrome, 14:40 , 04-Июл-05
• Восстановление сервера после взлома.,eSupport.org.ua, 17:21 , 04-Июл-05
• Восстановление сервера после взлома.,xz, 10:25 , 05-Июл-05
• Восстановление сервера после взлома.,BigBug, 14:09 , 05-Июл-05
  • Восстановление сервера после взлома.,BigBug, 14:10 , 05-Июл-05
  • Восстановление сервера после взлома.,Marcus, 15:31 , 05-Июл-05
• Восстановление сервера после взлома.,xz, 16:10 , 05-Июл-05
• Восстановление сервера после взлома.,xz, 16:11 , 05-Июл-05
  • Восстановление сервера после взлома.,Аноним, 17:39 , 05-Июл-05
  • Восстановление сервера после взлома.,Аноним, 18:48 , 06-Июл-05

Хех - масса описок:-( Даже в коммандах (chatter!)
Кроме того - ни слова  о восстановлении системы
зараженной lkm. Статья так себе. Почти ни о чем.
Интересно как можно восстановить систему
1. зараженную lkm
2. без reboot

Статья ни о чем, написано не грамотно. Из пустого в порожнее. Такие новости отсекать надо.

Грамотное восстановление -- это изоляция системы от сети, make world, make kernel и апгрейд всех портов, но это все в BSD.

Самое грамотное восстановление - бэкап данных и конфигов с последующей полной переустановкой системы (форматирование дисков тоже не повредит)

Интерестно как сделать "грамотное восстановление" на сервере где-то в америке или германии.

А кто сказал что disaster recovery - вещь халявная? Сажаешь чела со стримером у сервака и по телефону ему диктуешь чего сделать...
В принципе в среде виртуальных серваков это делается без особого напряга, правда для заливки системы из бакапа нужен канал толстый. Все зависит от того, сколько денег теряеться на простое сервиса. Затраты порядка 10% годовой прибыли на нормальную систему бакапа/резервирования на мой взгляд вполне нормальны.

есть больше чем 1 способ так сделать.

Отвечаю по порядку. Это не обязательно был LKM. Без ребута не выйдет, так как хаккер мог пересобрать ядро со своими "патчами".

Статья несет в себе общеинформативный характер а не описание команд.

Для FreeBSD это как один из вариантов. Но это было не на машине с FreeBSD.

Бекап дисков и переустановка не подходили, так как на сервере работал ряд сервисов не терпящих даунтаймов. Была бы возможность остановки - просто перенакатил бы систему, загрузившись с LiveCD.

Сервер находился в ДЦ, расположенном имено в Америке :)

И как справедливо замечено - есть масса способов как восстановит систему после взлома. Все зависит от ньюансов, исходя из которых и выбирается оптимальный способ

Успехов

kakaya raznica gde servak? vsegda est KVM.. esli est' kritichnie servisi to ih nado kuda to vremenno perenosit, i potom polnostiyu stavit' zanovo na compromissed servere.. da i voobshe zapasnoy serv vsegda nado imet' na takie sluchai

хых:)
все больше склоняюсь к сборке своего live-cd с маунтом /tmp и /var

Угу.
Примерно так сделано у одного немецкого провайдера хостинга. Только у него загрузка не с CD, а по BOOTP.

вопрос к автору:
>  получил права супер пользователя root, воспользовавшись одной из уязвимостей.
то есть в системе не стояли самые последние версии пакетов или?...

Чтобы пхп не лазил не понять куда, есть chroot, что сразу снимает проблему

Нет, не стояли, так как владелец пользовался услугами одной компании по администрированию серверов, и надеялся на них. Они же ничего ему не обновляли.

А что бы php не лазил, вообще-то есть штатная опция ;)

саф мод ? 80% клиентов у вас покрутят пальчиком у виска и пошлют в биореактор.

open_basedir ;) safemode это точно годится только для фрихостов.

и ещё незабыть _выключить_ curl, а то file://....

>open_basedir ;) safemode это точно годится только для фрихостов.

А по мне, наоборот, mod_php с одним open_basedir без ежовых настроек safe_mode только для фрихостинга, который за контент клиента не отвечает и которому пофиг хакнут через одного всех или нет.

Альтернатив не вижу.

php как скрипт, еще больший геморой для пользователей, чем safe_mode.

Патченный апач с чайлдами работающими от рута и захлебывающийся от форков, тоже не подарок.

apache 2.0 с uid per user MPM не выход.

Кроме safe_mode или отдельного apache на пользователя безопасность клиентов хостинга не гарантирована.

>apache 2.0 с uid per user MPM не выход.
да и почему же ?

да и мона глянуть успешный платный хостинг с саф модом ?

>да и мона глянуть успешный платный хостинг с саф модом ?

MasterHost

>да и мона глянуть успешный платный хостинг с саф модом ?

мастерхост, валуй, и множество других:)

сафмод + апач перл пхп в песочнице:)
вот грамотный хостинг:)