hacknuty server - cistenie
ondrakr
ondrakr na volny.cz
Neděle Březen 16 18:22:58 CET 2003
> Zaujimalo by ma, ako postupovat v pripade ze Vam
> niekto hackne server.
Komplet preinstalovat. O necem jinem bych vubec neuvazoval.
> A nie je mozne riesit to systemom:
> zalohova data a system preinstalovat.
Preinstalovani asi jedine co je na 100% ! Pokud tam je treba rootkit,
backdoor a podobny veci hleda se to tezko. Preinstalace vas bude stat mnohem
mensi namahu a je jistejsi.
> Ja som minule podobnu vec riesil asi takto:
> - pohladal som v /etc/passwd uservov, co tam nemaju
> co robit, resp. maju shelly. (ono je to tazke urcit, ked na kompe je
> 700userov)
>
> - typicky som pohladal, (cez find) vsetky uid 0 a nake tie nevezpecne
> suboriky
Pokud to je vazne hacknute tak se neda prakticky nicemu verit (bezici procesy,
vysledky hlednai v souborech, prava, soubory ... ) a hledani ma smysl asi
jen pokud nabootujete na jiny system a disk s tim puvodnim k nemu mountnete
nejlip jako ro.
> Ma niekto nejake lepsie osvedcene metody ako precistit
> dany stroj. (bez reinstallu ?)
Pokud to je zalozeno na RPM tak rpm -Va je kontrola integrity vseho na zaklade
kontrolnich souctu. Ale otazka je jestli tomu vysledku verit nebo ne.
Další informace o konferenci Linux