hacknuty server - cistenie

[Michal Truban]

Dobry den,

Zaujimalo by ma, ako postupovat v pripade ze Vam
niekto hackne server.

A nie je mozne riesit to systemom:
zalohova data a system preinstalovat.

Ja som minule podobnu vec riesil asi takto:
- pohladal som v /etc/passwd uservov, co tam nemaju
co robit, resp. maju shelly. (ono je to tazke urcit, ked na kompe je 
700userov)

- typicky som pohladal, (cez find) vsetky uid 0 a nake tie nevezpecne 
suboriky

- vymazal /tmp 
- pozrel logy = pomazane
- samozrejme som checkol, ci tam nemaju niekde bindnuty shell
- updatol vsetky sluzby atd...

Najvacsi problem bol, vlastne zistit cez co to hackli. A pohladat
nake backdoory. Kedze som ziadne nenasiel (ani rootkity, ani nic) tak
predpokladam, ze tam nieco niekde maju ulozene a mozu to hacknut znova.

Ma niekto nejake lepsie osvedcene metody ako precistit
dany stroj. (bez reinstallu ?)

dikes a zatim
-- 
Michal Truban
hp: www.truban.sk
---