pomoc s hackovanym serverem (hack probiha prave ted)
Pavel Kankovsky
peak na argo.troja.mff.cuni.cz
Čtvrtek Červenec 12 11:13:31 CEST 2012
On Wed, 11 Jul 2012, Petr Stehlik wrote:
>> Nicméně u nějakého jiného procesu by měla být roura se stejným inodem
>> coby druhým koncem.
> jak jsem říkal, hledal jsem takový proces, ale není tam žádný.
Je možné, že proces na druhém konci roury už skončil.
> Bohužel jsem je pozabíjel dřív, než jsem měl šanci udělat obrazy paměti.
11 z 10 kriminalistů doporučuje vykradený byt nejprve důkladně
uklidit a teprve pak začít zajišťovat stopy...
> Nicméně mě napadlo, jestli by nešlo nějak jednoduše obalit /usr/bin/perl
> něčím, co by zaznamenávalo STDIN, něco jako [...]
To mi připadá jako dost zoufalý nápad. Zejména s ohledem na to, že Vás
by nemělo zajímat ani tak to, co bylo spuštěno, jako to, jakým způsobem se
ten Perl podařilo spustit.
V první řadě bych se pokusil něco vydedukovat ze stop, které byly
zachovány. Těžko říct, jaký bude výsledek, neboť není zřejmé, jaké
informace jsou k dispozici, ale zkusit by se to mělo. Přinejmenším je
velmi pravděpodobné, že tu díru, kterou byl útok proveden, někdo sondoval
a testoval už předtím, než jí použil naostro (typicky během posledního
týdne, max. dvou), a tudíž by o tom nějaký záznam v logu Apache být měl.
V druhé řadě bych zkontroloval, co všechno je na tom webu vystaveno, a
provedl aspoň zběžnou kontrolu toho, zda tam nejsou k nalezení nějaké
zjevné díry.
Pokud už to nepůjde jinak, tak zkusit nasadit něco jako mod_security a
nastavit důkladnější logování příchozích požadavků. A pokud by se měly
dělat nějaké kejkle s Perlem, tak spíš na něj navěsit nějaký alarm,
který se aktivuje když bude spuštěný pod www-data, nebo tak nějak.
--
Pavel Kankovsky aka Peak / Jeremiah 9:21 \
"For death is come up into our MS Windows(tm)..." \ 21st century edition /
Další informace o konferenci Linux