hacknuty server - cistenie
Michal Truban
miso na blackhole.sk
Neděle Březen 16 12:55:35 CET 2003
Dobry den,
Zaujimalo by ma, ako postupovat v pripade ze Vam
niekto hackne server.
A nie je mozne riesit to systemom:
zalohova data a system preinstalovat.
Ja som minule podobnu vec riesil asi takto:
- pohladal som v /etc/passwd uservov, co tam nemaju
co robit, resp. maju shelly. (ono je to tazke urcit, ked na kompe je
700userov)
- typicky som pohladal, (cez find) vsetky uid 0 a nake tie nevezpecne
suboriky
- vymazal /tmp
- pozrel logy = pomazane
- samozrejme som checkol, ci tam nemaju niekde bindnuty shell
- updatol vsetky sluzby atd...
Najvacsi problem bol, vlastne zistit cez co to hackli. A pohladat
nake backdoory. Kedze som ziadne nenasiel (ani rootkity, ani nic) tak
predpokladam, ze tam nieco niekde maju ulozene a mozu to hacknut znova.
Ma niekto nejake lepsie osvedcene metody ako precistit
dany stroj. (bez reinstallu ?)
dikes a zatim
--
Michal Truban
hp: www.truban.sk
---
Další informace o konferenci Linux