LINUX.ORG.RU
решено ФорумAdmin

Увели виртуалку с БД

 ,


2

2

Есть у нас в компании муд.. к разработчик, который вчера отключил iptables(почему этот муд..к имеет рутовый доступ, это отдельная тема) на виртуалке с сервером PostgreSQL, не прошло и часу, как его увели китайцы, запускались процессы от левых учеток с конектами к китайским ip (возможно ip от прокси, впн и тд, может и не китайцы) ,добавляет печали ещё то, что бэкапы бд тоже лежали на этом серваке, повезло что они не успели потереть скрытые учетки, вмку я вернул, но терзают сомнения что теперь в ней есть бэкдоры и прочее, может пожалуйста кто подсказать как это максимально тщательно проверить? все левые учетки и их файлы удалил, вроде пока попыток запуска лишних процессов и коннектов не видно(сервак отключён от сети) проверил все текущие учетки,но сильно сомневаюсь что все вернул на круги свои


Ответ на: комментарий от Tanger

Не сужу строго

Я полностью согласен с тем что надо в первую очередь не судить, а понять человека и постараться помочь, но когда человека, просишь не трогать, того чего не знаешь, и тем более узнать он и не хочет, а он чихать хотел на твои просьбы и взаимопонимание, то тут уже сами понимаете…

w1rox
() автор топика
Ответ на: комментарий от t184256

Редеплой

Спасибо! Как вариант можно

w1rox
() автор топика
Ответ на: Помимо БД от w1rox

Тогда просто сделай дамп, проверь в нем процедуры, если они есть. пересоздай виртуалку и залей дамп.

Tanger ★★★★★
()
Ответ на: комментарий от Tanger

Проверить процедуры в дампе

Спасибо А можно насколько это возможно рассказать про процесс проверки продедур в дампе бд?

w1rox
() автор топика

отключил iptables
не прошло и часу, как его увели китайцы

Вообще-то когда вот так, то это плохо. Иметь что-то дырявое в надежде на iptables... Или zero day какой?

AS ★★★★★
()

запускались процессы от левых учеток с конектами к китайским ip

А вы поняли, как именно вас взломали и какой доступ к системе получили злоумышленники?

PS Лет 10 назад, на этом же форуме, мне посоветовали переставить систему, после того, как через уязвимость в апаче на мой сервак внедрили rootkit. Что я и сделал.

samson_b
()

но терзают сомнения что теперь в ней есть бэкдоры и прочее, может пожалуйста кто подсказать как это максимально тщательно проверить?

Подсистема Integrity должна дать все ответы, дополнительно анализ audita всех выполненных на серваке комманд.

Если никакой системы IDE и audita на серваке не было, то надо воспользоваться проверкой целостности файлов пакетным менеджером и стандартными логами.

Советую слить бекапы и текущую базу, их тщательно проверить и залить на новую чистую виртуалку.

anonymous
()

Подержу ораторов выше.

бэкапы бд тоже лежали на этом серваке
не прошло и часу, как его увели китайцы

Конечно человек отключивший fw отчасти виноват, однако ещё больше виноват тот кто все это настраивал.

все левые учетки и их файлы удалил, вроде пока попыток запуска лишних процессов и коннектов не видно(сервак отключён от сети)
сервак отключён от сети

Возможно по этой причине пока и не видите коннектов. Кстати где смотрите, случайно не на этом же сервере? Если да то не показатель, смотреть надо на хосте/роутере.
И насчет процессов, вы их можете и не увидеть. «Суслика видишь? И я не вижу, а он есть».
Самый правильный ответ Увели виртуалку с БД (комментарий)

anc ★★★★★
()

Дистрибутив? Версия дистрибутива? Какие порты принимают уд.соединения? Версии по на этих портах?

Сдаётся ты ошибочно назначил кого-то мудаком.

anonymous
()
Ответ на: комментарий от AS

Что-то дырявое

Да если честно всегда неохотно брался за задачи с безопасностью, так как тема муторная и глубокая, поэтому как-то и с SElinux не заморачивался и с самим PostgreSQL. Но с iptables сервак жил года два и вообще о себе почти не напоминал.

w1rox
() автор топика
Ответ на: комментарий от samson_b

Нет времени физически

Я пока этот вопрос оставил на потом, посмотрю. А посоветуйте пожалуйста методы для поиска и понимания сего процесса

w1rox
() автор топика
Ответ на: комментарий от anonymous

Проверка бэкапов

Спасибо за советы. Подскажите пожалуйста какие наиболее эффективно проверить бэкапы бд и саму бд после того как разверну из бэкапа

w1rox
() автор топика
Ответ на: комментарий от anc

Возможно и виноват я :-( Но я всё таки считаю что этим заниматься должен безопасник, да я как админ должен был базовую настройку провести, но текучки столько что хоть застрелить, а тут ещё и такие лоси «помогают» Коннекты смотрел на самой виртуалке, она в облаке. А насчёт суслика согласен, я то этим не живу, и этим не зарабатываю, поэтому и сомневаюсь сильно что все чисто.

w1rox
() автор топика
Ответ на: комментарий от zgen

Да, пока вроде других вариантов и не вижу

w1rox
() автор топика
Ответ на: Проверка бэкапов от w1rox

Подскажите пожалуйста какие наиболее эффективно проверить бэкапы бд и саму бд после того как разверну из бэкапа

А что там проверять? У тебя же там исполняемого кода нет? А данные - это тебе виднее, с чем и как их сравнить.

AS ★★★★★
()
Ответ на: комментарий от anonymous

Ubuntu server 16.04 PostgreSQL 9.6 Порты все нестандартные Мудак хотя бы потому что лезть туда не было необходимости, не зная элементарных вещей, проверяет свои скиллы на проде, но так как он вась вась с руководством то ему все можно

w1rox
() автор топика
Ответ на: комментарий от w1rox

Системные файлы, подмена бинарников

Какие системные файлы в бакапе БД? Ты же БД на сервере в свежеустановленной системе собираешься разворачивать?

AS ★★★★★
()
Ответ на: комментарий от AS

Увели базу вместе с железом, креслом и котом

jtad
()
Ответ на: комментарий от AS

Да на чистой системе, сорри я контекст перепутал малость Но тут вроде говорили про проверку процедур в бд, после развёртывания из бэкапа, и про проверку самого бэкапа БД на предмет изменений файлов,полагаю если ломали не дилетанты то возможно и в бэкапе могут быть уязвимости

w1rox
() автор топика

Я в безопасности не силен и поправьте если не прав, но по моему сам сервер как-то рукажопо настроен. Я всегда думал, что на сервере должна быть какая-то проверялка состояния системы, которая мониторит все изменения, шлёт отчёты о действиях, и даже после взлома эти изменения легко обнаруживаются. Настройка минимальных прав, а не так что под рутом можно все. Контейнеры тоже не лишне иметь, если что-то взломают, то далеко из-за ограничений прав и контейнеров не пройдут, куда пройдут можно увидеть. Вызывает вопросы дистр на серваке, он заливался как есть из коробки или его предварительно хоть как то обрабатывали? В идеале конечно собрать свой дистр только с теми компонентами, которые нужны на сервере, что исключает отсутствие потенциальных угроз. Ну и прочий комплекс мер по защите от вторжений. Если это все реализовать, то даже отключение iptables особой роли не сыграет. По моему здесь вина не только того человека, что отключил, но и в целом организации. О какой безопасности может идти речь, если один не особо умный Вася залез и что-то сломал? Директор знает какие люди у него работают и имеют доступ, они осведомлены об ответственности? Да и как залез, написал на бумаге перечень проводимых работ, уведомил начальника и согласовал все изменения на сервере, получил подтверждение в виде печати и подписи. Вот после этого заходи.

anonymous
()
Ответ на: комментарий от w1rox

Но тут вроде говорили про проверку процедур в бд

В смысле хранимые процедуры? Это да, вариант не нулевой. А их много?

AS ★★★★★
()
Ответ на: комментарий от w1rox

Возможно и виноват я :-(

Ты хоть хеши бекапов делал у себя на компе? Распечатывал эти хеши? Вот если бы хеши бекапов были мог бы их проверить! Имел бы гарантировано чистую версию базы от которой можно оттолкнутся.

Но я всё таки считаю что этим заниматься должен безопасник, да я как админ должен был базовую настройку провести,

Нет ты совсем не прав. Админ всегда отвечает за всю безопасность своих серверов и рабочих станций.

Безопасности ничего не настраивают они только следят за соблюдением правил безопасности. Могут заниматься системой внешнего шифрования, вносить предложения по повышению уровней безопасности и следить за их соблюдением.

anonymous
()
Ответ на: Проверка бэкапов от w1rox

Подскажите пожалуйста какие наиболее эффективно проверить бэкапы бд.

Контрольные суммы бекапов локально делал? Распечатал их?

У тебя есть хоть какая-то версия базы, на другом сервере, локально, которой можно верить?

Того кто создал базу знаешь? Может в инсталлере есть чистая база?

Могли поменять логику базы и/или данные. Логику можно восстановить с инсталлера и всех апдейтов или позвать того кто создал базу. А вот чтобы данные гарантировать … мало информации.

После таких публикаций на Лоре в новостях проскакивает сообщение об очередном сливе ПД пару миллионов жителей РФ….

anonymous
()
Ответ на: комментарий от anonymous

Во во, сделал бекап с послал себе на почту sha512 с именем файла.

anonymous
()

БД от какой-то стандартной CMS или там всё самописное? Если второе, то мало шансов, что за небольшое время, пока система была взломана, кто-то смог понять в какие хранимые что внедрить и успеть засунуть это в резервные копии. Взлом засветился сразу, значит ломатели низкой квалификации и использовали известные дыры/готовые скрипты.

Я бы установил систему заново, БД из бекапа, и что будет, то будет. Начальству можно наплести, что никаких гарантий, БД слили, содержимое БД и хранимых стало известно, может теперь через эти данные будут ломать...

mky ★★★★★
()
Ответ на: комментарий от mky

кто-то смог понять в какие хранимые что внедрить и успеть засунуть это в резервные копии

Есть база и ее резервные копии. Значить можно проверить что поменяли в текущей базе и не успели в бекапах. Или успели поменять везде.

Начальству можно наплести, что никаких гарантий, БД…

Сначала надо проверить все данные БД по бумажным документам. Вдруг Васян ломанул и свой кредит переписал на соседа.

Никому не давайте свои ПД. Даже госорганам для контакта хватит фамилии инициалов и номера сотового, который можно потом поменять. В РФ не осталось админов способных хранить ваши ПД.

anonymous
()

Надо не проверять, а делать дамп данных и ставить чистую ОСь

/thread

XMs ★★★★★
()
Ответ на: комментарий от anonymous

В РФ не осталось админов способных хранить ваши ПД.

То что теперь надо чтобы человек был не просто верным, а ещё и очень умелым есть кризис для всяких прижимистых на зарплату начальников.

torvn77 ★★★★★
()
Ответ на: комментарий от anonymous

проверка бэкапов

другой бд и бэекапов нет, контрольные суммы тоже не делал, так как я здесь третий день, и уже планирую уйти

реплики были, и кажись два, незнаю кто их снес потом контора уволила админа, тк говорят он был оч хорошим технарем, но интравертом, отстраненным от корп этикета и коллектива, зато был очаровашка разраб, который в администрирование ничего не понимал,но грозился это осилить за пару месяцев, вот они и решили его заменить админа этим разрабом

после их админ жестко несколько раз наказал, положив все на пару часов дабы показать уровень разраба, а контора финтех )) они ему заплатили неплохой бонус, дабы он все вернул, и просветил разраба в деле своем, на что админ ясное дело послал их лесом, подняв им сервисы, но инфраструктуру оставил покалеченной, и так контора прожила почти год, и когда у них начались даунтаймы по 20-20 мин каждый день, а разраб в поте лица героически с этим боролся, кто-то сказал что хоть и админ и был сам по себе, но работалось всем так удобно, что не знали что оказывается иногда и что то сломаться может, и решили что наверное им нужен админ и вот я кажись четвертый админ который к ним пришел, и в коллективе тут лизоблюдство и подхалимаж приветсвуется

w1rox
() автор топика
Ответ на: комментарий от AS

Хранимые процедуры

Да их много, бд от их внутреннего софта

w1rox
() автор топика
Ответ на: комментарий от mky

БД от внутреннего софта

Бд от внутреннего софта, которому 15 лет,сильно кастомизированное с кучей всякого добра

w1rox
() автор топика
Ответ на: комментарий от mky

Я не виноват

была и есть мысля,и эммоции через край тк я реально не виноват, но начальству фиолетово кто виноват, получат по шапке все, поэтому пока в поисках оптимального решения

w1rox
() автор топика
Ответ на: комментарий от anonymous

Безопасности ничего не настраивают

Возможно вы правы, админ тоже несет ответственность, но ИМХО по базису(так как тема то оч глубокая), а тюнинг это по части безопасности.Работал в крупной конторе и как то привык к такому регламенту

w1rox
() автор топика
Ответ на: комментарий от anonymous

сервер как-то рукажопо настроен

Так и есть, и все меры которые вы перечислили это так и должно быть, но тут проблема организационного характера, 500 начальников, не кто и чем и почему он этим занимается, не важно насколько ты компитентен а важно насколько ты хорошо вливаешься в коллектив, и если ты для коллектива лапочка то любой косяк тебе простителен и тд

поэтому планирую поскорее делать ноги

w1rox
() автор топика
Ответ на: комментарий от evgeny_aa

мудак тот, кто дал рут этому разработчику.

Как я вас понимаю ))

Поверьте тут таких так много, не понятно одно, что контора много раз и болезненно глотали эту колючку, но тендиции остались те же ))

w1rox
() автор топика

как это максимально тщательно проверить?

виртуалка с прод дб в интернете, закрытая локальным iptables, с локальными бэкапами..

Если обнаружили через час после увода, то значит работал бот, и врядли он что-то знает о ваших бэкапах.

Остается выжечь все напалмом, и залить заново. Бэкапы, хранящиеся локально, в единственном экземпляре, использовать для восстановления, другого варианта, по всей видимости, не имеется, и надеяться на лучшее.

Вопросов много, думаю вы и сами уже знаете кому их задавать.

Aborigen1020
()
Ответ на: проверка бэкапов от w1rox

другой бд и бэекапов нет, контрольные суммы тоже не делал, так как я здесь третий день, и уже планирую уйти

реплики были, и кажись два, незнаю кто их снес

Сверяй текущую базу хотябы с тем что есть. Остальное сверить надо с бумажными документами, если они есть.

решили что наверное им нужен админ и вот я кажись четвертый админ который к ним пришел

Переставляй по тихоньку все сервера, шлюзы.

Программисты и безопасники доступ к серверам не имеют. На сервера ходят только админы.

Программистам подыми тестовый сервер для разработки и тестирования.

anonymous
()
Ответ на: Безопасности ничего не настраивают от w1rox

Безопасники сервера не настраивают! И никакого тюнинга безопасности серверов не делают. Рута безопасники на серверах не имеют.

Безопасники определяют что надо админу сделать по поводу безопасности, пишут инструкции по безопасности и проверяют сделанную работу.

anonymous
()
Ответ на: комментарий от torvn77

То что теперь надо чтобы человек был не просто верным, а ещё и очень умелым есть кризис для всяких прижимистых на зарплату начальников.

Проблема РФ в том, что после 20 лет президентства в стране закончились люди.

верным, а ещё и очень умелым

Это характеристика дресерованой собаки, а не человека.

Для человека есть исполнение условий трудового договора и должностной инструкции. Соответствие квалификации к требованиям занимаемой должности.

есть кризис для всяких прижимистых на зарплату начальников.

Есть кризис на начальников людей, те существа что начальствуют ищут, себе подобных, верных и умелых собак.

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.