hacknuty server - cistenie

[Patrik Ostrihon]

> Zaujimalo by ma, ako postupovat v pripade ze Vam
> niekto hackne server.
> 
> A nie je mozne riesit to systemom:
> zalohova data a system preinstalovat.

Pomerne jednoducho ak ste na taku moznost mysleli pri instalacii :)

Po instalacii je dobre vyrobit si pre kazdy dolezity subor v systeme
md5sum. (dolezity subor - kniznice, binarky, scripty ale aj konfiruacne
subory, teoreticky by stacilo len tie ktore budu bezat s UID 0 ale
istota je urobit md5sum so vsetkych suborov v takto novo nainstalovanom
systeme).
Urobit si bootavacie CD (alebo mat na to vyhradenu "cistu" masinu),
ktore bude obsahovat zoznam s md5sum pre kazdy subor (treba ale
aktualizovat ked nieco doinstalujete, aktualizovat zoznam vzdy v
"cistom" prostredi). V pripade podozrenia jendoducho z takehoto CD
nabootovat a zistit ci sa nieco nemodifikovalo.

Predpokladam, ze toto ste ale pri instalacii neurobili. Nemusi to byt
velky problem. Neviem ako RPM (niekto z kolegov to iste doplni :) ) ale
DEB balicky maju pre kazdy subor vytvoreny md5sum. Subory s md5sum
najdete v pripade debianu  /var/lib/dpkg/info. Ale na tie v pripade, ze
ste mali bezpecnostnu udalost zabudnite, utocnik ich mohol modifikovat.
Pokial ale poznate verzie vsetkych balickov instalovanych v systeme a
viete ich ziskat z niektoreho mirroru (alebo archivu ak je to starsia
distribucia) prislusnej distribucie, tak viete ziskat md5sum kazdeho
suboru priamo z balickov. Nasledne je potrebne nabootovat do cisteho
systemu (bud pouzit nejaku LIVE distribuciu na CD alebo zvlast
pripravenu masinu, ku ktorej pripojite prislusny disk - pozor nebootovat
z toho disku). A vykonat kontrolu kazdeho suboru. Najlepsie je asi
vytvorit md5sum pre kazdy subor v napadnutom systeme a porovnat to s
md5sum z balickov a zistite aj co Vam pribudlo).

Prijemne hladanie :)

pa3k