Мой сервер был внедрен через h00lyshit эксплойт, какой-нибудь хороший совет?
Итак, вчера я узнал, что мой сервер был рутирован с помощью эксплойта h00lyshit. Пока я удалил все файлы, которые могут быть связаны с эксплойтом. Я также удалил все ключи SSH в ~/.ssh/authorized_keys, Я изменил пароль root на 25 случайных символов и пароль mysql.
Также я думаю, что злоумышленник был из Италии, и так как мне нужен доступ только из моей страны, я заблокировал все диапазоны IP-адресов, кроме моей собственной страны, поможет ли это?
Ребята, у вас есть хороший совет, что мне делать? Я планирую отключить root через ssh (я должен был сделать это намного раньше, я знаю:(). И есть ли способ проверить, может ли он снова получить доступ к моему серверу?
Также, к счастью, никакого ущерба не было, о, я запускаю Debian Lenny с ядром 2.6.26, если кому-то интересно.
PS: уу мой первый вопрос:D
4 ответа
Вы должны восстановить сервер из заведомо исправной резервной копии. Нет никакого реального способа узнать, что никакие другие задние двери не были установлены, не так ли?
Я бы всегда выступал за полное восстановление в случае известного компромисса. Это единственный безопасный способ.
Предполагая, что у вас есть резервные копии, и они последние, и они охватывают не только данные на сервере, у вас есть материал для экспертизы.
Если вы еще не используете инструмент, такой как Chef или Puppet, для быстрого перестроения до известного состояния, тогда начните.
После того, как машина была восстановлена, вам нужно подумать о векторах атак и способах их устранения. Вы упомянули свою конфигурацию ssh - есть много других - для Redhat-центричного и параноидального подхода смотрите здесь:
http://www.nsa.gov/ia/_files/factsheets/rhel5-pamphlet-i731.pdf
Для Debian и аналогичного подхода, посмотрите здесь:
Debian dot org / doc / manual /securing-debian-howto/
Удачи.
К сожалению, поскольку у него был root-доступ, невозможно точно узнать, что хакер сделал с системой. Они могли модифицировать логи, чтобы скрыть свои следы и любой другой нанесенный ущерб. Форматировать и переустанавливать или восстанавливать из известных исправных резервных копий - это единственный безопасный способ. Удачи.
В следующий раз отключите root-вход, измените ssh-порт и сразу же запустите iptables.
Лично, если я получу root, в идеале получу данные из резервной копии. Если нет, возьмите его с сервера, загрузитесь и уничтожьте его. ( http://www.dban.org/)