Strona 1 z 1
Włamanie na serwer --- jaki tok postępowania po
: 07 kwietnia 2008, 10:19
autor: Sim_1
Witam.
Mam taki problem. Dwa dni temu ktoś się włamał na serwer. Po ip widać teoretycznie że z Rumunii - pseudo Candyman. Narobił dość dużo syfu i dziadostwa - mam nadzieję że uda mi się to jakoś wyprowadzić.
Teraz zapytania:
- Coś namieszał w ssh - czy da się odinstalować ssh i zainstalować na nowo? Nie mam teraz autentyfikacji przy logowaniu.
- Czy zablokowanie zakresu ip - 86.120.0.0 - 86.127.255.255 w iptables da coś? I jak to dodać w iptables - chodzi o tak duży zakres?
I mam pytanie ostatnie - na serwie stoi tylko strona i poczta. Czy zgłoszenie tego np.: na policję da coś?
: 07 kwietnia 2008, 12:58
autor: Yampress
sprawdz czy nie zostawił sobie tylnej furtki na serwerze, czy nie podmienił plików, czy nie zainstalował rootkita. przejrzyj pliki konfiguracyje usług działających na twoim komputerze. musisz pozmienić hasła, stworzyć nowe klucze dla sshd. poza tym czytając logi o ile sa, analizując sprawdzić w jaki sposób udało mu sie dostac do systemu i poprawic to aby 2x tego nikt nie wykorzystał. o ile masz dostęp fizyczny do maszyny to na czas analizy odłącz go od internetu.
: 07 kwietnia 2008, 13:48
autor: Rad
Format i ponowna instalacja. Zgłosić na policję możesz.
: 07 kwietnia 2008, 15:51
autor: Sim_1
Jak sprawdzić czy nie ma rootkita ?
I jak zablokować w iptables cały przedział ip ?
: 07 kwietnia 2008, 20:29
autor: Yampress
Rad pisze:Format i ponowna instalacja. Zgłosić na policję możesz.
bez sprawdzenia jaką metoda i co zrobił agresor ponowna instalacja grozi ponownym włamaniem
Sim_1 pisze:Jak sprawdzić czy nie ma rootkita
zainstaluj chkrootkit
I jak zablokować w iptables cały przedział ip ?
ale co to Ci da? może z innego miejsca uderzć...
: 07 kwietnia 2008, 22:49
autor: artek
witam, zacznij od przeglądnięcia logów, sprawdź dokładnie systemy np. czy nie ma w nim czasem żadnej 'niespodzianki', przekonfiguruj sobie sshd, reinstalacja nie jest potrzebna, Na przyszłość - jeśli łączysz się zdalnie tylko z 1 adresu ewentualnie z kilku to ustaw na firewallu żeby przepuszczał tylko te adresy na port na którym stoi sshd bądź ustaw je w sshd.conf (dobrym pomysłem jest stawiać sshd na innym porcie niż 22), zainteresuj się czymś takim jak port knocking (bardzo fajna zabawka
), pyzatym bardzo dobrze by było jakbyś poczytał trochę na temat szeroko pojętego bezpieczeństwa, zacznij od iptables
koniecznie zainteresuj się jail'em.
wycięcie na firewallu zakresu adresów IP nie jest dobrym pomysłem, jeśli chodzi o policje to jak znam życie to pewnie nie przejmą się za bardzo
: 08 kwietnia 2008, 00:18
autor: Rad
Yampress pisze:bez sprawdzenia jaką metoda i co zrobił agresor ponowna instalacja grozi ponownym włamaniem
Pozostawienie maszyny, na której mogą być backdoory i rootkity jest głupotą. Taka maszyna powinna być od razu odłączona i dopiero analizowana. Najlepiej postawić wtedy zapasową maszynę (lub właśnie z od nowa zainstalowanym systemem), na której byłyby całkiem inne hasła i włączone tylko najważniejsze usługi (tylko dystrybucyjne, po uprzednim zaaktualizowaniu, jeżeli się wcześniej zapomniało).
: 08 kwietnia 2008, 07:38
autor: fnmirk
Sposób jakie kroki należy w takiej sytuacji wybrać --- moim zdaniem --- dobrze przybliża to w swoich książkach Kylie Rankin. Taka malutka książeczka dostępna w >>
Knoppix...<<
Moim zdaniem ten człowiek zna się na tym.
http://www.oreilly.com/catalog/knoppixhks/
Może tak się trochę zabezpieczysz na przyszłość.
: 08 kwietnia 2008, 09:00
autor: Yampress
Rad, przeciez o odłączeniu było w pierwszym moim poście. :-P
: 08 kwietnia 2008, 15:15
autor: Rad
Jasne, ale w tym poście nie napisałeś, że konieczna jest ponowna instalacja systemu. Moim zdaniem taka konieczność zachodzi, ponieważ tylko po formacie, można być prawie 100% pewnym, że nic w systemie nie siedzi.