Linux: разрешение вопросов, перспективы и общение (comp.soft.linux.discuss) : Рассылка : Subscribe.Ru

← Июнь 2009 →
1 01.06.2009 17:49:40 20:29:00	2	3	4 04.06.2009 11:17:25 14:30:13 14:48:10 15:18:38 15:59:08 16:58:53 21:50:48	5 05.06.2009 04:22:18 11:49:05 11:49:08 11:49:22	6 06.06.2009 12:51:24 20:46:08	7
8 08.06.2009 02:17:42 02:17:52 07:59:29 16:56:12	9	10 10.06.2009 15:58:20 17:19:10 18:23:29 21:14:59	11 11.06.2009 15:31:29 19:58:51 22:53:30	12	13	14
15	16	17 17.06.2009 12:20:15 15:52:16	18 18.06.2009 20:39:23 21:40:48 22:10:14 23:39:29	19 19.06.2009 00:05:32 08:30:39 12:11:17 23:20:24	20 20.06.2009 00:13:21 13:15:50 13:15:50 13:16:10	21
22 22.06.2009 01:46:47 07:19:09 09:27:49 11:03:00 15:01:11 15:18:06 15:21:15 15:43:40	23 23.06.2009 15:55:55 16:44:48	24 24.06.2009 12:19:15 15:00:13 15:48:38 18:33:01 18:39:25 21:28:54 22:19:00 22:24:02 22:29:50 22:46:15	25 25.06.2009 07:52:21 08:32:57 09:23:39 09:27:06 11:39:26 12:42:33 14:38:42 18:39:52 20:52:13 21:18:27 21:47:35	26 26.06.2009 08:02:23 11:10:54 12:46:43 15:10:53 16:00:59 16:06:53 18:11:17 19:16:14 19:16:30 19:16:41 19:47:01 20:02:34 20:12:46 20:32:53	27	28 28.06.2009 14:14:03 19:36:10 20:02:22 20:50:09
29 29.06.2009 08:50:20 11:26:38 13:33:43 16:08:27 16:08:50 16:10:52 16:26:19 17:41:14 18:04:05 18:14:22	30 30.06.2009 06:17:41 06:19:31 10:14:56 10:27:45 11:18:33 11:42:13 13:32:37 17:01:15 21:03:38 21:39:04 22:04:53 22:05:09 22:05:43 23:02:39 23:20:26 23:39:24 23:43:52

← Июнь 2009 →

01.06.2009
17:49:40
20:29:00

04.06.2009
11:17:25
14:30:13
14:48:10
15:18:38
15:59:08
16:58:53
21:50:48

05.06.2009
04:22:18
11:49:05
11:49:08
11:49:22

06.06.2009
12:51:24
20:46:08

08.06.2009
02:17:42
02:17:52
07:59:29
16:56:12

10.06.2009
15:58:20
17:19:10
18:23:29
21:14:59

11.06.2009
15:31:29
19:58:51
22:53:30

17.06.2009
12:20:15
15:52:16

18.06.2009
20:39:23
21:40:48
22:10:14
23:39:29

19.06.2009
00:05:32
08:30:39
12:11:17
23:20:24

20.06.2009
00:13:21
13:15:50
13:15:50
13:16:10

22.06.2009
01:46:47
07:19:09
09:27:49
11:03:00
15:01:11
15:18:06
15:21:15
15:43:40

23.06.2009
15:55:55
16:44:48

24.06.2009
12:19:15
15:00:13
15:48:38
18:33:01
18:39:25
21:28:54
22:19:00
22:24:02
22:29:50
22:46:15

25.06.2009
07:52:21
08:32:57
09:23:39
09:27:06
11:39:26
12:42:33
14:38:42
18:39:52
20:52:13
21:18:27
21:47:35

26.06.2009
08:02:23
11:10:54
12:46:43
15:10:53
16:00:59
16:06:53
18:11:17
19:16:14
19:16:30
19:16:41
19:47:01
20:02:34
20:12:46
20:32:53

28.06.2009
14:14:03
19:36:10
20:02:22
20:50:09

29.06.2009
08:50:20
11:26:38
13:33:43
16:08:27
16:08:50
16:10:52
16:26:19
17:41:14
18:04:05
18:14:22

30.06.2009
06:17:41
06:19:31
10:14:56
10:27:45
11:18:33
11:42:13
13:32:37
17:01:15
21:03:38
21:39:04
22:04:53
22:05:09
22:05:43
23:02:39
23:20:26
23:39:24
23:43:52

За 2009-06-28

Re: Ваши действия после взлома?

: >> NB Адекватные руткиты в выводе ps не светятся. Как и в сокетах,
: >> собственно.
: >
: > И как же такое можно сделать?
:
: За счет подмены системных утилит, таких как ps, ls и др. на поддельные,
: которые работаю почти так же, но "не выдают своих". На этом собственно и
: основаны методы поиска руткитов (утилиты rkhunter, chkrootkit,
: проверяющие контрольные суммы ключевых утилит ОС).
:
: Что делать?
:
: 1) Отключить сервер от интернет.
: 2) Сохранить пользовательские данные и настройки
: 3) Поставить чистую систему
: 4) Восстановить пользовательские данные и настройки

и добавлю:

5) мониторить изменения в дальнейшем

-*Название листа "Linux: разрешение вопросов, перспективы и общение";
Написать в лист: mailto:comp.soft.linux.discuss-list@subscribe.ru
Адрес правил листа http://subscribe.ru/catalog/comp.soft.linux.discuss/rules
Номер письма: 36220; Возраст листа: 2165; Участников: 1383
Адрес сайта рассылки: http://www.linuxrsp.ru
Адрес этого письма в архиве: http://subscribe.ru/archive/comp.soft.linux.discuss/msg/878492

Всеволод

2009-06-28 20:50:09 (#878492)

Re: Ваши действия после взлома?

Amper wrote:
>> NB Адекватные руткиты в выводе ps не светятся. Как и в сокетах,
>> собственно.
>
> И как же такое можно сделать?

За счет подмены системных утилит, таких как ps, ls и др. на поддельные,
которые работаю почти так же, но "не выдают своих". На этом собственно и
основаны методы поиска руткитов (утилиты rkhunter, chkrootkit,
проверяющие контрольные суммы ключевых утилит ОС).

Что делать?

1) Отключить сервер от интернет.
2) Сохранить пользовательские данные и настройки
3) Поставить чистую систему
4) Восстановить пользовательские данные и настройки

Eugene Saenko

2009-06-28 20:02:22 (#878481)

Re: Ваши действия после взлома?

Oleg Matviychuk пишет:
> NB Адекватные руткиты в выводе ps не светятся. Как и в сокетах,
> собственно.

И как же такое можно сделать?

-*Название листа "Linux: разрешение вопросов, перспективы и общение";
Написать в лист: mailto:comp.soft.linux.discuss-list@subscribe.ru
Адрес правил листа http://subscribe.ru/catalog/comp.soft.linux.discuss/rules
Номер письма: 36218; Возраст листа: 2165; Участников: 1383
Адрес сайта рассылки: http://www.linuxrsp.ru
Адрес этого письма в архиве: http://subscribe.ru/archive/comp.soft.linux.discuss/msg/878470

Amper

2009-06-28 19:36:10 (#878470)

Re: Ваши действия после взлома?

On Fri, 26 Jun 2009 19:10:25 +0300
Amper wrote:

> Strong and Humble пишет:
> > Представьте, Вами администрируемый сервер взломали так, что даже
> > получили привилегии дмин-а ОС. Сервер продолжает работать,
> > выполнять то, на что был установлен.
> >
> > Поделитесь, если можно, какими будут Ваши действия?
> >
В первую очередь очень желательно лишить сервер интернета.

> > Т.е. интересны, по крайней мере следующие пункты:
> >
> > 1. Как это сделали - для предотвращения взлома на новой установке
> > ОС.
>
> Если произошло чудо и логи не потерли то тщательный анализ логов за
> период времени, в которое предпологаемо произошел взлом.
>
> Ну и далее, чтобы попытаться вычистить установленную гадость
> ps ax и kill странных процессов

NB Адекватные руткиты в выводе ps не светятся. Как и в сокетах,
собственно.

> netstat -nltp и килл лишних сервесов, аналогично для -nlup
> vim /etc/passwd на предмет пользователей с UID 0
> cd / ; ls -la ; ls -la --time=ctime и поиск того, что было
> модифицировано после взлома
>
Вообще, на модификацию файлов надо ставить IDS, чтоб само следило.

> > 2. Откуда (ip) "молодцы" были.
>
> Скорее всего с такой-же жертвы взлома, так что пользы от него не
> так уж и много.
>
Или из tor, что тоже не сильно поможет.

-*Название листа "Linux: разрешение вопросов, перспективы и общение";
Написать в лист: mailto:comp.soft.linux.discuss-list@subscribe.ru
Адрес правил листа http://subscribe.ru/catalog/comp.soft.linux.discuss/rules
Номер письма: 36217; Возраст листа: 2165; Участников: 1383
Адрес сайта рассылки: http://www.linuxrsp.ru
Адрес этого письма в архиве: http://subscribe.ru/archive/comp.soft.linux.discuss/msg/878395

Oleg Matviychuk 2009-06-28 14:14:03 (#878395)

← Июнь 2009 →
1 01.06.2009 17:49:40 20:29:00	2	3	4 04.06.2009 11:17:25 14:30:13 14:48:10 15:18:38 15:59:08 16:58:53 21:50:48	5 05.06.2009 04:22:18 11:49:05 11:49:08 11:49:22	6 06.06.2009 12:51:24 20:46:08	7
8 08.06.2009 02:17:42 02:17:52 07:59:29 16:56:12	9	10 10.06.2009 15:58:20 17:19:10 18:23:29 21:14:59	11 11.06.2009 15:31:29 19:58:51 22:53:30	12	13	14
15	16	17 17.06.2009 12:20:15 15:52:16	18 18.06.2009 20:39:23 21:40:48 22:10:14 23:39:29	19 19.06.2009 00:05:32 08:30:39 12:11:17 23:20:24	20 20.06.2009 00:13:21 13:15:50 13:15:50 13:16:10	21
22 22.06.2009 01:46:47 07:19:09 09:27:49 11:03:00 15:01:11 15:18:06 15:21:15 15:43:40	23 23.06.2009 15:55:55 16:44:48	24 24.06.2009 12:19:15 15:00:13 15:48:38 18:33:01 18:39:25 21:28:54 22:19:00 22:24:02 22:29:50 22:46:15	25 25.06.2009 07:52:21 08:32:57 09:23:39 09:27:06 11:39:26 12:42:33 14:38:42 18:39:52 20:52:13 21:18:27 21:47:35	26 26.06.2009 08:02:23 11:10:54 12:46:43 15:10:53 16:00:59 16:06:53 18:11:17 19:16:14 19:16:30 19:16:41 19:47:01 20:02:34 20:12:46 20:32:53	27	28 28.06.2009 14:14:03 19:36:10 20:02:22 20:50:09
29 29.06.2009 08:50:20 11:26:38 13:33:43 16:08:27 16:08:50 16:10:52 16:26:19 17:41:14 18:04:05 18:14:22	30 30.06.2009 06:17:41 06:19:31 10:14:56 10:27:45 11:18:33 11:42:13 13:32:37 17:01:15 21:03:38 21:39:04 22:04:53 22:05:09 22:05:43 23:02:39 23:20:26 23:39:24 23:43:52