Что делать после атаки хакеров

Linux gateway переустановить с нуля, Windows машины проверить DrWeb + Kaspersky + AdAware + Trojan Hunter.

а также проконсультироваться у адвоката насчет того, что через твой сервер не был взломан сервер какого-либо банка...

хотя впрочем еслиб банк взломали, у вас в офисе уже был бы ОМОН и происходило бы изъятие сервера...

звонить админу.

во всем этом сисадминстве есть таки одна опасность, за решетку совершенно реально загреметь можно... было однажды такое дело, взломали сервер, а через него взломали другой сервер и у людей были совершенно реальные проблемы... и вытерли логи вообще все. Так что опасайтесь на всякий случай, на самом это все очень опасные вещи... завалить чела реально можно при помощи этой всей электроники, если очень большая нужда будет...

догадался отключить сервер от интернета?

>каков план действий в таких случаях?
зависит от делегированных тебе полномочий.

Если админа долго ждать, то переустановить гейт, сохранив диск (его образ) для админа. И не устанавливать на гейт всякие webmin_ы и пр. гадость.

Вообшем перед самым новым годом у этого гатевея диск полетел, другой админ на подхвате взял другой диск и все скопировал со старого туда, ну и по видимому какую то дырку оставил по запарке. А вчера, первого числа, какой то хакер с америки (по крайней мере ip из пула AOL) воспользовался этим. Установил shv5 rootkit. В .bash_history видно, что он делал. А обнаружилось все так, на сервере пара сервисов упало и не поднималось. Проги из руткита не все работали. Мы опять со старого диска все восстановили, все апдейты поставили. Проверили сервера во внутренней сетке, вроде бы ничего подозрительного не обнаружилось.

shv5 меняет вполне определенные весчи в системе.. там у этого руткита есть башевый скрипт инсталляции.. по нему можно отследить порядок действий и вернуть все взад (когда сам подцепил с удивлением обнаружил что руткит сделал бэкапы :), но доверять им не стал)..

1) не надо все мочить как тут некоторые предлагают (явно виндузятники).. аккуратненько и ВНИМАТЕЛЬНО посмотреть что делает руткит и возратить все файлы на место из дистрибы или другой аналогичной машины..

2) ssh перенесть на другой порт или лучше ограничить доступ с определенного ИП (а лучше и то и другое)

3) проверить все на предмет апдейтов, найти слабые пароли в системе, ненужных пользователей либо убить либо отключить..

но самое главное проверить ключевые компоненты системы на бинарную идентичность оригиналу

Гейт должен заниматься ТОЛЬКО гейтованием. В идеале - даже прокся должна быть на другой машине, не говоря уж об остальных сервисах.

да, и гейт лучше делать на аппаратных решениях, cisco, d-link, etc

На d-link пожалуйста не надо. Мало того что это сами по себе кривые железки, так они еще имеют инженерный пароль который нельзя сменить и который однозначно вычисляется по их MAC адресу.

По поводу d-link можно поподробнее? А то у меня несколько таких вещиц стоит. Каким образом вычисляется инженерный пароль по маку? Специально интересовался у д-линк раша - они утверждают что такой херни нет и все секурно просто пипец.

дада, поподробнее плиз.
я знаю что там можно посредством хард-ресета сбросить пароль.
но чтобы инженерный был, причем вычисляемый...
PS: юзаю dl-604 дома уже примерно полгода, круглосуточно включенным - никаких нареканий. единственно - хотелось бы статистику по snmp чтобы умел отдавать.

Тем более странно, как это они вычисляют по маку, если мак у него вполне себе сменяемый :) по крайней мере у dlink824vup.