Witam.
Mam taki problem. Dwa dni temu ktoś się włamał na serwer. Po ip widać teoretycznie że z Rumunii - pseudo Candyman. Narobił dość dużo syfu i dziadostwa - mam nadzieję że uda mi się to jakoś wyprowadzić.
Teraz zapytania:
- Coś namieszał w ssh - czy da się odinstalować ssh i zainstalować na nowo? Nie mam teraz autentyfikacji przy logowaniu.
- Czy zablokowanie zakresu ip - 86.120.0.0 - 86.127.255.255 w iptables da coś? I jak to dodać w iptables - chodzi o tak duży zakres?
I mam pytanie ostatnie - na serwie stoi tylko strona i poczta. Czy zgłoszenie tego np.: na policję da coś?
W
sprawdz czy nie zostawił sobie tylnej furtki na serwerze, czy nie podmienił plików, czy nie zainstalował rootkita. przejrzyj pliki konfiguracyje usług działających na twoim komputerze. musisz pozmienić hasła, stworzyć nowe klucze dla sshd. poza tym czytając logi o ile sa, analizując sprawdzić w jaki sposób udało mu sie dostac do systemu i poprawic to aby 2x tego nikt nie wykorzystał. o ile masz dostęp fizyczny do maszyny to na czas analizy odłącz go od internetu.
bez sprawdzenia jaką metoda i co zrobił agresor ponowna instalacja grozi ponownym włamaniemRad pisze:Format i ponowna instalacja. Zgłosić na policję możesz.
zainstaluj chkrootkitSim_1 pisze:Jak sprawdzić czy nie ma rootkita
ale co to Ci da? może z innego miejsca uderzć...I jak zablokować w iptables cały przedział ip ?
witam, zacznij od przeglądnięcia logów, sprawdź dokładnie systemy np. czy nie ma w nim czasem żadnej 'niespodzianki', przekonfiguruj sobie sshd, reinstalacja nie jest potrzebna, Na przyszłość - jeśli łączysz się zdalnie tylko z 1 adresu ewentualnie z kilku to ustaw na firewallu żeby przepuszczał tylko te adresy na port na którym stoi sshd bądź ustaw je w sshd.conf (dobrym pomysłem jest stawiać sshd na innym porcie niż 22), zainteresuj się czymś takim jak port knocking (bardzo fajna zabawka 
), pyzatym bardzo dobrze by było jakbyś poczytał trochę na temat szeroko pojętego bezpieczeństwa, zacznij od iptables koniecznie zainteresuj się jail'em.
wycięcie na firewallu zakresu adresów IP nie jest dobrym pomysłem, jeśli chodzi o policje to jak znam życie to pewnie nie przejmą się za bardzo
), pyzatym bardzo dobrze by było jakbyś poczytał trochę na temat szeroko pojętego bezpieczeństwa, zacznij od iptables koniecznie zainteresuj się jail'em.wycięcie na firewallu zakresu adresów IP nie jest dobrym pomysłem, jeśli chodzi o policje to jak znam życie to pewnie nie przejmą się za bardzo
Pozostawienie maszyny, na której mogą być backdoory i rootkity jest głupotą. Taka maszyna powinna być od razu odłączona i dopiero analizowana. Najlepiej postawić wtedy zapasową maszynę (lub właśnie z od nowa zainstalowanym systemem), na której byłyby całkiem inne hasła i włączone tylko najważniejsze usługi (tylko dystrybucyjne, po uprzednim zaaktualizowaniu, jeżeli się wcześniej zapomniało).Yampress pisze:bez sprawdzenia jaką metoda i co zrobił agresor ponowna instalacja grozi ponownym włamaniem
Sposób jakie kroki należy w takiej sytuacji wybrać --- moim zdaniem --- dobrze przybliża to w swoich książkach Kylie Rankin. Taka malutka książeczka dostępna w >>Knoppix...<<
Moim zdaniem ten człowiek zna się na tym.
http://www.oreilly.com/catalog/knoppixhks/
Może tak się trochę zabezpieczysz na przyszłość.
Moim zdaniem ten człowiek zna się na tym.
http://www.oreilly.com/catalog/knoppixhks/
Może tak się trochę zabezpieczysz na przyszłość.