Re: Ваши действия после взлома?
Strong and Humble wrote:
>> Информация о текущих юзерах в /var/run/utmp а о последних входах
>> систему /var/log/wtmp
>
> Ясно, а как Вы к ним обращаетесь?
Информацию о текущих юзерах (из файла /var/run/utmp) выдает команда who
а о последних входах (из файла /var/log/wtmp) -- lastlog
правда в ее выводе присутствует множество
пользователей с состоянием "Never logged in". Поэтому лучше эту команду
давать в виде:
lastlog | grep -v logged
При этом останутся только пользователи реально входившие в систему.
Конечно этой информации можно доверять только если bad boy не заменил
файлы who и lastlog.
Проверить это можно с помощью утилит rkhunter
(http://www.rootkit.nl/projects/rootkit_hunter.html) и chkrootkit
(http://www.chkrootkit.org/)
Кстати, здесь в обсуждении высказывалось мнение, что bad boy не станет
менять системные утилиты, а подсунет юзеру локальную замену, мол для
этого не требуются рутовские привилегии. В таком случае он скроется
только от этого юзера, а от root'а ему не скрыться. Увы, в случае взлома
моего сервера была именно подмена системных утилит (около десятка). К
счастью нетронутой оказалась lastlog. С ее помощью, а также с помощью
rkhunter и chkrootkit и удалось выяснить как (с помощью юзера с реальным
шеллом и паролем "1") и с какого IP произошел взлом.
Хочу предостеречь от попытки ВОССТАНОВИТЬ СУЩЕСТВУЮЩУЮ СИСТЕМУ. Следует
забэкапить Ваши настройки (конфигурационные файлы из /etc /usr/etc
/usr/local/etc которые Вы правили) и пользовательские данные (например
почту), но ни в коем случае не исполняемые файлы.
После этого УСТАНОВИТЬ ЧИСТУЮ систему, на нее весь дополнительный софт,
который нужен Вашему серверу. Затем заново создать пользователей,
восстановить из бэкапа настройки и пользовательские данные.
В этом случае Вашему новому серверу можно доверять. Иначе останется
риск, что где-то остались остатки руткита, которыми снова можно
воспользоваться для взлома.
Возможно эти меры покажутся чрезмерными, но мне они помогли :-)
