Какие варианты у меня есть, если мой linux box скомпрометирован?

Question

Какие варианты у меня есть, если мой linux box скомпрометирован?

Возможный дубликат:
Мой сервер был взломан АВАРИЙНЫЙ

Я положил все меры безопасности и инструменты мониторинга журнала. Сейчас, но я не знаю, что делать, если узнаю, что в моей системе есть какой-то руткит.

Если у меня есть работающие сайты в моей системе, и я также не могу выключить сервер. Как я могу удалить инфекцию

Что касается резервных копий, я должен делать резервные копии всей системы Linux или только каталога и базы данных public_html. потому что в настоящее время я копирую только эти папки.

У меня есть VPS, и моя хостинговая компания делает ежедневные снимки, но как еще можно обезопасить себя, чтобы в случае заражения руткитом я смог его восстановить.

-1

security centos5 remove

Источник

08 окт '10 в 04:12

3 ответа

Другие вопросы по тегам security centos5 remove

Mark Henderson 08 окт '10 в 04:33 2010-10-08 04:33 · Answer 1 · 2010-10-08 04:33

Если на вашем веб-сервере есть вирус, единственная безопасная вещь, которую можно сделать, - это загрузить ядерное оружие из космоса. Правильно, поместите его в следующую миссию космического челнока и убедитесь, что он отброшен достаточно далеко от земли, чтобы мы не все осыпались в ЭМИ или выпадении, и нажмите красную кнопку, которая заставляет его взорваться.

Если это невыполнимо, слишком дорого или у вас в местном торговом центре закончились ядерные бомбы, то единственный другой способ убедиться, что какой-либо вирус исчез, - это отформатировать сервер. Ваш хостинг-провайдер может помочь вам в этом, настроив 2-й VPS и предоставив вам месяц или около того, чтобы переместить все, прежде чем завершить работу и удалить текущий экземпляр. Конечно, если вы просто перенесете все без разбора со старого VPS на новый VPS, вы, скорее всего, принесете вирус с собой.

Если у вас есть данные о клиентах, и есть риск, что вы утечете, что данные или участие в бот-сети или бэкдоре были оставлены в системе, тогда вы обязаны предоставить своим клиентам все, что в ваших силах, и просто сканирования / удаления любого известного вируса на самом деле недостаточно, потому что вы просто никогда не знаете, что они оставили.

Что касается резервных копий, я бы сказал, что вы делаете правильно, потому что у вас не должно быть прав на выполнение чего-либо public_html папка и база данных вряд ли таят в себе что-либо вредоносное.

Cypher 08 окт '10 в 04:34 2010-10-08 04:34 · Answer 2 · 2010-10-08 04:34

Я бы посоветовал вам хранить резервные копии только ваших данных: файлов вашего сайта и данных вашей базы данных. Держите эти резервные копии вне системы. Если вы инфицированы или сервер скомпрометирован, вы можете сделать так, чтобы ваш хост "инициализировал" сервер (вернул его в исходное состояние), скопировал ваши данные и вернулся в режим онлайн с чистым сервером.

Я также предлагаю вам проверить вашу систему и выяснить, как вы были заражены / скомпрометированы в первую очередь, и принять меры, чтобы предотвратить это снова.

Darth Android 08 окт '10 в 04:34 2010-10-08 04:34 · Answer 3 · 2010-10-08 04:34

Резервные копии, резервные копии, резервные копии. К сожалению, нет никакого способа быть уверенным, что руткит пропал без форматирования и восстановления из резервной копии. Я бы сохранял резервные копии каталогов данных каждого из ваших сервисов (веб-сервера, так /home/*/public_html а также /var/www; MySQL, наверное /var/lib/mysqlпрочитайте о каждой службе, которую вы используете, чтобы найти, где хранятся файлы) и сделайте резервную копию вашей конфигурации (/etc) и любые локальные изменения, внесенные вами в системную и домашнюю директории (/home/*, /usr/local/*) как минимум.

Для дальнейшего уточнения потенциальных руткитов, как только они получат привилегии root, они могут замаскировать все признаки того, что они существуют в зараженной системе.