hacknuty server - cistenie

[ondrakr]

> Zaujimalo by ma, ako postupovat v pripade ze Vam
> niekto hackne server.

Komplet preinstalovat. O necem jinem bych vubec neuvazoval.

> A nie je mozne riesit to systemom:
> zalohova data a system preinstalovat.

Preinstalovani asi jedine co je na 100% !  Pokud tam je treba rootkit, 
backdoor a podobny veci hleda se to tezko. Preinstalace vas bude stat mnohem 
mensi namahu a je jistejsi.

> Ja som minule podobnu vec riesil asi takto:
> - pohladal som v /etc/passwd uservov, co tam nemaju
> co robit, resp. maju shelly. (ono je to tazke urcit, ked na kompe je
> 700userov)
>
> - typicky som pohladal, (cez find) vsetky uid 0 a nake tie nevezpecne
> suboriky

Pokud to je vazne hacknute tak se neda prakticky nicemu verit (bezici procesy,  
vysledky hlednai v souborech, prava, soubory  ... ) a hledani ma smysl asi 
jen pokud nabootujete na jiny system a disk s tim puvodnim k nemu mountnete 
nejlip jako ro.

> Ma niekto nejake lepsie osvedcene metody ako precistit
> dany stroj. (bez reinstallu ?)

Pokud to je zalozeno na RPM tak rpm -Va je kontrola integrity vseho na zaklade 
kontrolnich souctu. Ale otazka je jestli tomu vysledku verit nebo ne.