|
|
Włamanie na serwer --- jaki tok postępowania po
Sim_1 - 07-04-2008 10:19
Witam.
Mam taki problem. Dwa dni temu ktoś się włamał na serwer. Po ip widać teoretycznie że z Rumunii - pseudo Candyman. Narobił dość dużo syfu i dziadostwa - mam nadzieję że uda mi się to jakoś wyprowadzić.
Teraz zapytania:
- Coś namieszał w ssh - czy da się odinstalować ssh i zainstalować na nowo? Nie mam teraz autentyfikacji przy logowaniu.
- Czy zablokowanie zakresu ip - 86.120.0.0 - 86.127.255.255 w iptables da coś? I jak to dodać w iptables - chodzi o tak duży zakres?
I mam pytanie ostatnie - na serwie stoi tylko strona i poczta. Czy zgłoszenie tego np.: na policję da coś?
Yampress - 07-04-2008 12:58
sprawdz czy nie zostawił sobie tylnej furtki na serwerze, czy nie podmienił plików, czy nie zainstalował rootkita. przejrzyj pliki konfiguracyje usług działających na twoim komputerze. musisz pozmienić hasła, stworzyć nowe klucze dla sshd. poza tym czytając logi o ile sa, analizując sprawdzić w jaki sposób udało mu sie dostac do systemu i poprawic to aby 2x tego nikt nie wykorzystał. o ile masz dostęp fizyczny do maszyny to na czas analizy odłącz go od internetu.
Rad - 07-04-2008 13:48
Format i ponowna instalacja. Zgłosić na policję możesz.
Sim_1 - 07-04-2008 15:51
Jak sprawdzić czy nie ma rootkita ?
I jak zablokować w iptables cały przedział ip ?
Yampress - 07-04-2008 20:29
Format i ponowna instalacja. Zgłosić na policję możesz.
bez sprawdzenia jaką metoda i co zrobił agresor ponowna instalacja grozi ponownym włamaniem
Jak sprawdzić czy nie ma rootkita
zainstaluj chkrootkit
ale co to Ci da? może z innego miejsca uderzć...
artek - 07-04-2008 22:49
witam, zacznij od przeglądnięcia logów, sprawdź dokładnie systemy np. czy nie ma w nim czasem żadnej 'niespodzianki', przekonfiguruj sobie sshd, reinstalacja nie jest potrzebna, Na przyszłość - jeśli łączysz się zdalnie tylko z 1 adresu ewentualnie z kilku to ustaw na firewallu żeby przepuszczał tylko te adresy na port na którym stoi sshd bądź ustaw je w sshd.conf (dobrym pomysłem jest stawiać sshd na innym porcie niż 22), zainteresuj się czymś takim jak port knocking (bardzo fajna zabawka :)), pyzatym bardzo dobrze by było jakbyś poczytał trochę na temat szeroko pojętego bezpieczeństwa, zacznij od iptables :) koniecznie zainteresuj się jail'em.
wycięcie na firewallu zakresu adresów IP nie jest dobrym pomysłem, jeśli chodzi o policje to jak znam życie to pewnie nie przejmą się za bardzo :)
Rad - 08-04-2008 00:18
bez sprawdzenia jaką metoda i co zrobił agresor ponowna instalacja grozi ponownym włamaniem
Pozostawienie maszyny, na której mogą być backdoory i rootkity jest głupotą. Taka maszyna powinna być od razu odłączona i dopiero analizowana. Najlepiej postawić wtedy zapasową maszynę (lub właśnie z od nowa zainstalowanym systemem), na której byłyby całkiem inne hasła i włączone tylko najważniejsze usługi (tylko dystrybucyjne, po uprzednim zaaktualizowaniu, jeżeli się wcześniej zapomniało).
fnmirk - 08-04-2008 07:38
Sposób jakie kroki należy w takiej sytuacji wybrać --- moim zdaniem --- dobrze przybliża to w swoich książkach Kylie Rankin. Taka malutka książeczka dostępna w >>Knoppix...<<
Moim zdaniem ten człowiek zna się na tym.
http://www.oreilly.com/catalog/knoppixhks/
Może tak się trochę zabezpieczysz na przyszłość.
Yampress - 08-04-2008 09:00
Rad, przeciez o odłączeniu było w pierwszym moim poście. :-P
Rad - 08-04-2008 15:15
Jasne, ale w tym poście nie napisałeś, że konieczna jest ponowna instalacja systemu. Moim zdaniem taka konieczność zachodzi, ponieważ tylko po formacie, można być prawie 100% pewnym, że nic w systemie nie siedzi.
zanotowane.pldoc.pisz.plpdf.pisz.plminister.pev.pl
|
