forum.opennet.ru - "Меня похачили" (4)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"Меня похачили"

Форумы OpenNET: Виртуальная конференция (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"Меня похачили"
Сообщение от fa (??) on 06-Июл-06, 23:20
Всем привет. В общем сабж. Кто-то подобрал пароль одного из юзеров. Машина очень далеко. Переставить систему смогу месяца через 2. Все это время сервер должен работать. Собственно вопрос: что делать? Пока удалил юзера, под которым зашли, и все его файлы. Убил все сервисы кроме ssh. Переставил ssh на другой порт и закрыл в iptables все остальные порты. Закрыл в iptables сетку, из которой зашли. Что еще где проверить? Что можно бэкапить, что нет? Мож какой антируткит посоверуете. Мало ли что там хацкер успел начудить.
Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх

Оглавление

Меня похачили, Александр, 00:19 , 07-Июл-06, (1)

Меня похачили, икбля, 00:42 , 07-Июл-06, (2)

Меня похачили, Vaso Petrovich, 09:21 , 07-Июл-06, (3)

Меня похачили, lavr, 12:34 , 07-Июл-06, (4)

Сообщения по теме [Сортировка по времени, UBB]

1. "Меня похачили"

Сообщение от Александр (??) on 07-Июл-06, 00:19

Я бы еще пересобрал ssh из новых сырцов. Мало ли, может именно его забэкдорили. Ну и классика: создаешь группу, суешь в нее себя и допущенных для логина юзеров, разрешаешь в sshd.conf логин только этой группе, запрещаешь логин рута и авторизацию по ключам без логина.
Дальше вопрос - что значит "сервер должен работать", если ты все порты закрыл? Тогда можно вообще фаерволом разрешить контакт серверу только с твоим ip (или только с доверенными). Посканируй еще свой сервак на предмет открытых портов (действительно ли все закрыто фаером?). Хотя хорошие бэкдоры не держут свои порты постоянно открытыми, но мало ли...

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

2. "Меня похачили"

Сообщение от икбля on 07-Июл-06, 00:42

проверить кроны, автозапуск, инетды, ттис, все логи (авось), пересобрать не только ссш: ядро + оболочки + все сервисы.
%%: сделай песочницу на своей рабочей тачиле = копию старой хаченой оси + редирект сервисов со старых портов на себя + все пассы старые = посмотришь злодея :) и что он делает. может это снова "вася пупкин", пасс которого взяли, прикидывается, а сам рк понаставил и прерываний себе насобирал %-)
rkhunter + chkrootkit + tripwire (aide)
наверняка появились снифаки + чд + сканеры +++
=> антивирами / скань
найди все свежие файлы (+ атайм).
борись за правду, успехов :))

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

3. "Меня похачили"

Сообщение от Vaso Petrovich on 07-Июл-06, 09:21

в нормальном дистре все будет легко, проверь установленые файлы с тем что в оригинальных пакетах... если подобрали пароль юзера, то сильно много они сделать не могли... файло могли оставить во временых каталога и каталоге юзера, переставлять вообще глупая идеа, это же не винда

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

4. "Меня похачили"

Сообщение от lavr on 07-Июл-06, 12:34

>  Всем привет.
>  В общем сабж. Кто-то подобрал пароль одного из юзеров. Машина
>очень далеко. Переставить систему смогу месяца через 2. Все это время
>сервер должен работать. Собственно вопрос: что делать?
>  Пока удалил юзера, под которым зашли, и все его файлы.
>Убил все сервисы кроме ssh. Переставил ssh на другой порт и
>закрыл в iptables все остальные порты. Закрыл в iptables сетку, из
>которой зашли.
>  Что еще где проверить? Что можно бэкапить, что нет? Мож
>какой антируткит посоверуете. Мало ли что там хацкер успел начудить.
все зависит от того КТО и КАКИЕ цели приследовал, а суетится всегда следует заранее.
Если не смогли определить через ЧТО взломали и ЧТО подвесили - только перестановка
и апгрейд софта который предоставляет сервисы.
Иных советов нет и быть не может. Останов машины и переустановка, все остальное
НЕДОМЕРЫ, особенно с учетом того что это удаленная телега.

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Меня похачили"
Сообщение от Александр (??) on 07-Июл-06, 00:19
Я бы еще пересобрал ssh из новых сырцов. Мало ли, может именно его забэкдорили. Ну и классика: создаешь группу, суешь в нее себя и допущенных для логина юзеров, разрешаешь в sshd.conf логин только этой группе, запрещаешь логин рута и авторизацию по ключам без логина. Дальше вопрос - что значит "сервер должен работать", если ты все порты закрыл? Тогда можно вообще фаерволом разрешить контакт серверу только с твоим ip (или только с доверенными). Посканируй еще свой сервак на предмет открытых портов (действительно ли все закрыто фаером?). Хотя хорошие бэкдоры не держут свои порты постоянно открытыми, но мало ли...
Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх


	2. "Меня похачили"
	Сообщение от икбля on 07-Июл-06, 00:42
	проверить кроны, автозапуск, инетды, ттис, все логи (авось), пересобрать не только ссш: ядро + оболочки + все сервисы. %%: сделай песочницу на своей рабочей тачиле = копию старой хаченой оси + редирект сервисов со старых портов на себя + все пассы старые = посмотришь злодея :) и что он делает. может это снова "вася пупкин", пасс которого взяли, прикидывается, а сам рк понаставил и прерываний себе насобирал %-) rkhunter + chkrootkit + tripwire (aide) наверняка появились снифаки + чд + сканеры +++ => антивирами / скань найди все свежие файлы (+ атайм). борись за правду, успехов :))
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх


	3. "Меня похачили"
	Сообщение от Vaso Petrovich on 07-Июл-06, 09:21
	в нормальном дистре все будет легко, проверь установленые файлы с тем что в оригинальных пакетах... если подобрали пароль юзера, то сильно много они сделать не могли... файло могли оставить во временых каталога и каталоге юзера, переставлять вообще глупая идеа, это же не винда
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх

4. "Меня похачили"
Сообщение от lavr on 07-Июл-06, 12:34
> Всем привет. > В общем сабж. Кто-то подобрал пароль одного из юзеров. Машина >очень далеко. Переставить систему смогу месяца через 2. Все это время >сервер должен работать. Собственно вопрос: что делать? > Пока удалил юзера, под которым зашли, и все его файлы. >Убил все сервисы кроме ssh. Переставил ssh на другой порт и >закрыл в iptables все остальные порты. Закрыл в iptables сетку, из >которой зашли. > Что еще где проверить? Что можно бэкапить, что нет? Мож >какой антируткит посоверуете. Мало ли что там хацкер успел начудить. все зависит от того КТО и КАКИЕ цели приследовал, а суетится всегда следует заранее. Если не смогли определить через ЧТО взломали и ЧТО подвесили - только перестановка и апгрейд софта который предоставляет сервисы. Иных советов нет и быть не может. Останов машины и переустановка, все остальное НЕДОМЕРЫ, особенно с учетом того что это удаленная телега.
Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх

Архив \| Удалить	Индекс форумов \| Темы \| Пред. тема \| След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 \| 2 \| 3 \| 4 \| 5 ] [Рекомендовать для помещения в FAQ]