Skocz do zawartości
jambos

Włamanie na serwer,Dostep do roota co robić ?

Przez jambos, w Serwery Dedykowane i VPS

Polecane posty

jambos    1

jambos
Napisano

Witam niestety otóż dzisiejszej nocy stała się bardzo przykra ale ucząca dla mnie rzecz. Około godziny 4/5 rano ktoś zalogował się do mojego dedyka z dostępem roota .. około 5.30 rozpoczęły się ataki DOS z mojego serwera po około 15 minutach ovh go zablokowało i następnie wprowadziło w stan "OVH Anti-Hack rescue" Mam kopie wszystkich plików oraz systemu z przed paru dni.Dystrybucja Debian 8.1. Teraz pytanie co robić ? gdzie co posprawdzać czy nie ma niespodzianek ? czy raczej trzeba stawiać od nowa serwer/odtworzyć system z backupu?

Udostępnij ten post

Link to postu
Udostępnij na innych stronach

Gość Kamikadze   

Gość Kamikadze
Napisano

Zabezpieczałeś jakoś serwer?

Podstawowo to fail2ban, blokowanie portów, zmiana portu ssh itd.

Udostępnij ten post

Link to postu
Udostępnij na innych stronach

Suspect121    53

Suspect121
Napisano (edytowany)

System raczej do reinstalacji. Jeżeli ktoś miał dostęp to mógł Ci narobić niezłego syfu w systemie i nie będziesz w stanie znaleźć gdzie. Mógł nawet zmodyfikować pliki systemowe aby później móc ponownie przejmować kontrolę czy dalej wysyłać DOS-y. Po takiej akcji jedynie reinstalacja jest gwarantem, że serwer będzie ponownie bezpieczny.

Edytowano przez Suspect121 (zobacz historię edycji)

Udostępnij ten post

Link to postu
Udostępnij na innych stronach

Pan Kot    1535

Pan Kot
Napisano (edytowany)

Jak wyżej, reinstalacja jest obowiązkowa, a zanim to zrobisz warto poszukać poszlak co mogło pójść nie tak, ja bym spakował całe /var/log do tara, przesłał do siebie do późniejszej analizy, a potem reinstall.

Edytowano przez Archi (zobacz historię edycji)

Udostępnij ten post

Link to postu
Udostępnij na innych stronach

Kszysiu    136

Kszysiu
Napisano (edytowany)

Jeśli ktoś w miarę myślący się tam włamał, to raczej logów nie będzie ;)

 

 

Jak wyżej polecam rsysloga - ciekawostka - przy dziwnych "padach" maszyny rsyslog potrafi powiedzieć więcej niż zwykły log - w sensie później się ucina ;)

Edytowano przez Kszysiu (zobacz historię edycji)

Udostępnij ten post

Link to postu
Udostępnij na innych stronach

JakubC    43

JakubC
Napisano

PFF LOGI ;D

 

 

 

Jak ktoś się loguje z kompa (przeważnie winda...) przętego to nawet ssh dostępne tylko po vpnie nic nie da.

 

 

 

Ostatnio w modzie jest podmiana binarek (praktycznie nienamierzalna z logów na czystym systemie, bez daemonów pilnujących typu etc keeper ). Patrzysz proces odpalony (przeważnie kluczowy typu iptables - porządny admin nie pozwoli sobie raczej na wyłączenie go) myślisz - wporzo ;-), a tu z niego chinol ma dostęp.

 

Jest to wręcz arcydzieło, podmieniąjąc praktycznie wszystkie binarki w logach nic nie ma bo binara sama decyduje co logować ^^

 

Naturalnie zmiana haseł nie pomoże bo proces iptables (ten zarażony) w przeciągu 2 minut wyśle nowe hasło :P

 

 

I przyznam otwarcie, nigdy takiego hosta nie ratowałem, leciałem windowsowo - FORMAT FORMAT FORMAT

 

Udostępnij ten post

Link to postu
Udostępnij na innych stronach

Miłosz    2311

Miłosz
Napisano

Nie tylko iptables.. bo i sshd, httpd, cron, crond, itp

Binarka sobie działa i nasłuchuje, bądź też atakuje. Prawie nie podpada poza sporym użyciem procka i czasem działania, a także tym, że przeważnie działa na jakimś userze, na którym nie powinna.

Udostępnij ten post

Link to postu
Udostępnij na innych stronach

Bądź aktywny! Zaloguj się lub utwórz konto

Tylko zarejestrowani użytkownicy mogą komentować zawartość tej strony

Utwórz konto

Zarejestruj nowe konto, to proste!

Zarejestruj nowe konto

Zaloguj się

Posiadasz własne konto? Użyj go!

Zaloguj się
Przejdź do listy tematów Serwery Dedykowane i VPS
×