pomoc s hackovanym serverem (hack probiha prave ted)

[Pavel Kankovsky]

On Wed, 11 Jul 2012, Petr Stehlik wrote:

>> Nicméně u nějakého jiného procesu by měla být roura se stejným inodem 
>> coby druhým koncem.
> jak jsem říkal, hledal jsem takový proces, ale není tam žádný.

Je možné, že proces na druhém konci roury už skončil.

> Bohužel jsem je pozabíjel dřív, než jsem měl šanci udělat obrazy paměti.

11 z 10 kriminalistů doporučuje vykradený byt nejprve důkladně 
uklidit a teprve pak začít zajišťovat stopy...

> Nicméně mě napadlo, jestli by nešlo nějak jednoduše obalit /usr/bin/perl
> něčím, co by zaznamenávalo STDIN, něco jako [...]

To mi připadá jako dost zoufalý nápad. Zejména s ohledem na to, že Vás 
by nemělo zajímat ani tak to, co bylo spuštěno, jako to, jakým způsobem se 
ten Perl podařilo spustit.

V první řadě bych se pokusil něco vydedukovat ze stop, které byly 
zachovány. Těžko říct, jaký bude výsledek, neboť není zřejmé, jaké 
informace jsou k dispozici, ale zkusit by se to mělo. Přinejmenším je 
velmi pravděpodobné, že tu díru, kterou byl útok proveden, někdo sondoval 
a testoval už předtím, než jí použil naostro (typicky během posledního 
týdne, max. dvou), a tudíž by o tom nějaký záznam v logu Apache být měl.

V druhé řadě bych zkontroloval, co všechno je na tom webu vystaveno, a 
provedl aspoň zběžnou kontrolu toho, zda tam nejsou k nalezení nějaké 
zjevné díry.

Pokud už to nepůjde jinak, tak zkusit nasadit něco jako mod_security a 
nastavit důkladnější logování příchozích požadavků. A pokud by se měly 
dělat nějaké kejkle s Perlem, tak spíš na něj navěsit nějaký alarm, 
který se aktivuje když bude spuštěný pod www-data, nebo tak nějak.

-- 
Pavel Kankovsky aka Peak                          / Jeremiah 9:21        \
"For death is come up into our MS Windows(tm)..." \ 21st century edition /