https://developerslife.ru/9835

Что там помимо бд было?

Помимо БД

Только сама СУБД и бэкапы

как это максимально тщательно проверить?

Методом редеплоя.

Не сужу строго

Я полностью согласен с тем что надо в первую очередь не судить, а понять человека и постараться помочь, но когда человека, просишь не трогать, того чего не знаешь, и тем более узнать он и не хочет, а он чихать хотел на твои просьбы и взаимопонимание, то тут уже сами понимаете…

Редеплой

Спасибо! Как вариант можно

Тогда просто сделай дамп, проверь в нем процедуры, если они есть. пересоздай виртуалку и залей дамп.

Проверить процедуры в дампе

Спасибо А можно насколько это возможно рассказать про процесс проверки продедур в дампе бд?

отключил iptables
не прошло и часу, как его увели китайцы

Вообще-то когда вот так, то это плохо. Иметь что-то дырявое в надежде на iptables... Или zero day какой?

запускались процессы от левых учеток с конектами к китайским ip

А вы поняли, как именно вас взломали и какой доступ к системе получили злоумышленники?

PS Лет 10 назад, на этом же форуме, мне посоветовали переставить систему, после того, как через уязвимость в апаче на мой сервак внедрили rootkit. Что я и сделал.

вот держи чекалку https://github.com/rebootuser/LinEnum

но терзают сомнения что теперь в ней есть бэкдоры и прочее, может пожалуйста кто подсказать как это максимально тщательно проверить?

Подсистема Integrity должна дать все ответы, дополнительно анализ audita всех выполненных на серваке комманд.

Если никакой системы IDE и audita на серваке не было, то надо воспользоваться проверкой целостности файлов пакетным менеджером и стандартными логами.

Советую слить бекапы и текущую базу, их тщательно проверить и залить на новую чистую виртуалку.

Подержу ораторов выше.

бэкапы бд тоже лежали на этом серваке
не прошло и часу, как его увели китайцы

Конечно человек отключивший fw отчасти виноват, однако ещё больше виноват тот кто все это настраивал.

все левые учетки и их файлы удалил, вроде пока попыток запуска лишних процессов и коннектов не видно(сервак отключён от сети)
сервак отключён от сети

Возможно по этой причине пока и не видите коннектов. Кстати где смотрите, случайно не на этом же сервере? Если да то не показатель, смотреть надо на хосте/роутере.
И насчет процессов, вы их можете и не увидеть. «Суслика видишь? И я не вижу, а он есть».
Самый правильный ответ Увели виртуалку с БД (комментарий)

Поднять другую виртуалку, восстановить бд из копии

Дистрибутив? Версия дистрибутива? Какие порты принимают уд.соединения? Версии по на этих портах?

Сдаётся ты ошибочно назначил кого-то мудаком.

Что-то дырявое

Да если честно всегда неохотно брался за задачи с безопасностью, так как тема муторная и глубокая, поэтому как-то и с SElinux не заморачивался и с самим PostgreSQL. Но с iptables сервак жил года два и вообще о себе почти не напоминал.

Нет времени физически

Я пока этот вопрос оставил на потом, посмотрю. А посоветуйте пожалуйста методы для поиска и понимания сего процесса

как это максимально тщательно проверить

Зачем? Патч Бармина + деплой по-новой.

Проверка бэкапов

Спасибо за советы. Подскажите пожалуйста какие наиболее эффективно проверить бэкапы бд и саму бд после того как разверну из бэкапа

Возможно и виноват я :-( Но я всё таки считаю что этим заниматься должен безопасник, да я как админ должен был базовую настройку провести, но текучки столько что хоть застрелить, а тут ещё и такие лоси «помогают» Коннекты смотрел на самой виртуалке, она в облаке. А насчёт суслика согласен, я то этим не живу, и этим не зарабатываю, поэтому и сомневаюсь сильно что все чисто.

Да, пока вроде других вариантов и не вижу

Подскажите пожалуйста какие наиболее эффективно проверить бэкапы бд и саму бд после того как разверну из бэкапа

А что там проверять? У тебя же там исполняемого кода нет? А данные - это тебе виднее, с чем и как их сравнить.

Ubuntu server 16.04 PostgreSQL 9.6 Порты все нестандартные Мудак хотя бы потому что лезть туда не было необходимости, не зная элементарных вещей, проверяет свои скиллы на проде, но так как он вась вась с руководством то ему все можно

Системные файлы, подмена бинарников и тд, я так понимаю тема нудная

Спасибо, гляну что за патч

Системные файлы, подмена бинарников

Какие системные файлы в бакапе БД? Ты же БД на сервере в свежеустановленной системе собираешься разворачивать?

Увели базу вместе с железом, креслом и котом

Да на чистой системе, сорри я контекст перепутал малость Но тут вроде говорили про проверку процедур в бд, после развёртывания из бэкапа, и про проверку самого бэкапа БД на предмет изменений файлов,полагаю если ломали не дилетанты то возможно и в бэкапе могут быть уязвимости

Я в безопасности не силен и поправьте если не прав, но по моему сам сервер как-то рукажопо настроен. Я всегда думал, что на сервере должна быть какая-то проверялка состояния системы, которая мониторит все изменения, шлёт отчёты о действиях, и даже после взлома эти изменения легко обнаруживаются. Настройка минимальных прав, а не так что под рутом можно все. Контейнеры тоже не лишне иметь, если что-то взломают, то далеко из-за ограничений прав и контейнеров не пройдут, куда пройдут можно увидеть. Вызывает вопросы дистр на серваке, он заливался как есть из коробки или его предварительно хоть как то обрабатывали? В идеале конечно собрать свой дистр только с теми компонентами, которые нужны на сервере, что исключает отсутствие потенциальных угроз. Ну и прочий комплекс мер по защите от вторжений. Если это все реализовать, то даже отключение iptables особой роли не сыграет. По моему здесь вина не только того человека, что отключил, но и в целом организации. О какой безопасности может идти речь, если один не особо умный Вася залез и что-то сломал? Директор знает какие люди у него работают и имеют доступ, они осведомлены об ответственности? Да и как залез, написал на бумаге перечень проводимых работ, уведомил начальника и согласовал все изменения на сервере, получил подтверждение в виде печати и подписи. Вот после этого заходи.

Но тут вроде говорили про проверку процедур в бд

В смысле хранимые процедуры? Это да, вариант не нулевой. А их много?

Возможно и виноват я :-(

Ты хоть хеши бекапов делал у себя на компе? Распечатывал эти хеши? Вот если бы хеши бекапов были мог бы их проверить! Имел бы гарантировано чистую версию базы от которой можно оттолкнутся.

Но я всё таки считаю что этим заниматься должен безопасник, да я как админ должен был базовую настройку провести,

Нет ты совсем не прав. Админ всегда отвечает за всю безопасность своих серверов и рабочих станций.

Безопасности ничего не настраивают они только следят за соблюдением правил безопасности. Могут заниматься системой внешнего шифрования, вносить предложения по повышению уровней безопасности и следить за их соблюдением.

Подскажите пожалуйста какие наиболее эффективно проверить бэкапы бд.

Контрольные суммы бекапов локально делал? Распечатал их?

У тебя есть хоть какая-то версия базы, на другом сервере, локально, которой можно верить?

Того кто создал базу знаешь? Может в инсталлере есть чистая база?

Могли поменять логику базы и/или данные. Логику можно восстановить с инсталлера и всех апдейтов или позвать того кто создал базу. А вот чтобы данные гарантировать … мало информации.

После таких публикаций на Лоре в новостях проскакивает сообщение об очередном сливе ПД пару миллионов жителей РФ….

Во во, сделал бекап с послал себе на почту sha512 с именем файла.

БД от какой-то стандартной CMS или там всё самописное? Если второе, то мало шансов, что за небольшое время, пока система была взломана, кто-то смог понять в какие хранимые что внедрить и успеть засунуть это в резервные копии. Взлом засветился сразу, значит ломатели низкой квалификации и использовали известные дыры/готовые скрипты.

Я бы установил систему заново, БД из бекапа, и что будет, то будет. Начальству можно наплести, что никаких гарантий, БД слили, содержимое БД и хранимых стало известно, может теперь через эти данные будут ломать...

кто-то смог понять в какие хранимые что внедрить и успеть засунуть это в резервные копии

Есть база и ее резервные копии. Значить можно проверить что поменяли в текущей базе и не успели в бекапах. Или успели поменять везде.

Начальству можно наплести, что никаких гарантий, БД…

Сначала надо проверить все данные БД по бумажным документам. Вдруг Васян ломанул и свой кредит переписал на соседа.

Никому не давайте свои ПД. Даже госорганам для контакта хватит фамилии инициалов и номера сотового, который можно потом поменять. В РФ не осталось админов способных хранить ваши ПД.

Надо не проверять, а делать дамп данных и ставить чистую ОСь

/thread

В РФ не осталось админов способных хранить ваши ПД.

То что теперь надо чтобы человек был не просто верным, а ещё и очень умелым есть кризис для всяких прижимистых на зарплату начальников.

Разработчик не мудак, конченый мудак тот, кто дал рут этому разработчику.

проверка бэкапов

другой бд и бэекапов нет, контрольные суммы тоже не делал, так как я здесь третий день, и уже планирую уйти

реплики были, и кажись два, незнаю кто их снес потом контора уволила админа, тк говорят он был оч хорошим технарем, но интравертом, отстраненным от корп этикета и коллектива, зато был очаровашка разраб, который в администрирование ничего не понимал,но грозился это осилить за пару месяцев, вот они и решили его заменить админа этим разрабом

после их админ жестко несколько раз наказал, положив все на пару часов дабы показать уровень разраба, а контора финтех )) они ему заплатили неплохой бонус, дабы он все вернул, и просветил разраба в деле своем, на что админ ясное дело послал их лесом, подняв им сервисы, но инфраструктуру оставил покалеченной, и так контора прожила почти год, и когда у них начались даунтаймы по 20-20 мин каждый день, а разраб в поте лица героически с этим боролся, кто-то сказал что хоть и админ и был сам по себе, но работалось всем так удобно, что не знали что оказывается иногда и что то сломаться может, и решили что наверное им нужен админ и вот я кажись четвертый админ который к ним пришел, и в коллективе тут лизоблюдство и подхалимаж приветсвуется

Хранимые процедуры

Да их много, бд от их внутреннего софта

БД от внутреннего софта

Бд от внутреннего софта, которому 15 лет,сильно кастомизированное с кучей всякого добра

Я не виноват

была и есть мысля,и эммоции через край тк я реально не виноват, но начальству фиолетово кто виноват, получат по шапке все, поэтому пока в поисках оптимального решения

Безопасности ничего не настраивают

Возможно вы правы, админ тоже несет ответственность, но ИМХО по базису(так как тема то оч глубокая), а тюнинг это по части безопасности.Работал в крупной конторе и как то привык к такому регламенту

сервер как-то рукажопо настроен

Так и есть, и все меры которые вы перечислили это так и должно быть, но тут проблема организационного характера, 500 начальников, не кто и чем и почему он этим занимается, не важно насколько ты компитентен а важно насколько ты хорошо вливаешься в коллектив, и если ты для коллектива лапочка то любой косяк тебе простителен и тд

поэтому планирую поскорее делать ноги

хеши бекапов

Пока не успел, 3-й день в этой конторе а уже воротит от нее

мудак тот, кто дал рут этому разработчику.

Как я вас понимаю ))

Поверьте тут таких так много, не понятно одно, что контора много раз и болезненно глотали эту колючку, но тендиции остались те же ))

как это максимально тщательно проверить?

виртуалка с прод дб в интернете, закрытая локальным iptables, с локальными бэкапами..

Если обнаружили через час после увода, то значит работал бот, и врядли он что-то знает о ваших бэкапах.

Остается выжечь все напалмом, и залить заново. Бэкапы, хранящиеся локально, в единственном экземпляре, использовать для восстановления, другого варианта, по всей видимости, не имеется, и надеяться на лучшее.

Вопросов много, думаю вы и сами уже знаете кому их задавать.

другой бд и бэекапов нет, контрольные суммы тоже не делал, так как я здесь третий день, и уже планирую уйти

реплики были, и кажись два, незнаю кто их снес

Сверяй текущую базу хотябы с тем что есть. Остальное сверить надо с бумажными документами, если они есть.

решили что наверное им нужен админ и вот я кажись четвертый админ который к ним пришел

Переставляй по тихоньку все сервера, шлюзы.

Программисты и безопасники доступ к серверам не имеют. На сервера ходят только админы.

Программистам подыми тестовый сервер для разработки и тестирования.

Безопасники сервера не настраивают! И никакого тюнинга безопасности серверов не делают. Рута безопасники на серверах не имеют.

Безопасники определяют что надо админу сделать по поводу безопасности, пишут инструкции по безопасности и проверяют сделанную работу.

То что теперь надо чтобы человек был не просто верным, а ещё и очень умелым есть кризис для всяких прижимистых на зарплату начальников.

Проблема РФ в том, что после 20 лет президентства в стране закончились люди.

верным, а ещё и очень умелым

Это характеристика дресерованой собаки, а не человека.

Для человека есть исполнение условий трудового договора и должностной инструкции. Соответствие квалификации к требованиям занимаемой должности.

есть кризис для всяких прижимистых на зарплату начальников.

Есть кризис на начальников людей, те существа что начальствуют ищут, себе подобных, верных и умелых собак.