первая помощь при взломе домашнего сервера

1

2

доброго времени суток,

ломанули мой домашний сервер. получив рут-доступ: поудаляли всякого (выкрали кой-чего). Что можно попытаться определить по горячим следам, чтобы выявить дыру в безопасности?

сервер на openSuse 12.3. Находится за домашним роутером. На него были проброшены порты: 80, 22 (без стучания по портам), 21, 5900-5907 (внц), 21027 (сервер TF2). Файрвол работал. мой уровень как админа довольно никудышный - просто осознал необходимость домашнего сервера, запустил - работает (понемногу обростая возложенными функциями).

система после взлома не очень рабочая (часть системных файлов потёрта).

ранее ещё заметил, что в скрипте запуска игрового (тф2) сервера были странные команды на изменения атрибутов:

chmod -R 777 /var/log/
chmod -R 777 /etc/apache2/
chmod -R 777 /root/ >/dev/null
chmod -R 777 /home/dimic/ >/dev/null
chmod 777 /etc/shadow >/dev/null
chmod 777 /etc/shadow >/dev/null

зачем менять атрибуты таким образом, если уже был рут-доступ? Или возможно модифицировать скрипт запуска из запущенного ним приложения?

Ссылка

←	4 удаленных офиса соединить в одну сеть mikrotik

Разрешение frambuffer

→

Показаны ответы на комментарий. Показать все комментарии.

ранее ещё заметил, что в скрипте запуска игрового (тф2) сервера были странные команды на изменения атрибутов:

Ранее это до взлома или после? Скрипт запуска тф2 с какого нибудь левого сайта взял?
Перечисленные команды открывают доступ на чтение/запись/запуск для указанных файлов, например в /etc/shadow хранятся пароли пользователей.

зачем менять атрибуты таким образом, если уже был рут-доступ?

Видимо не было рут доступа. Был доступ на редактирование файла запуска тф2(или ты сам его залил) и при этом тф2 у тебя запускается с правами рута что позволило выполнить команды. Возможно в самом тф2 где нибудь дырка.

Чтобы защититься от подобного рекомендую для каждой задачи (тф2, майнкрафт, контерстрайк...) создавать своего пользователя и запускать эти задачи из под этих пользователей, а не из под рута.

TDrive ★★★★★
(06.11.13 23:50:10 UTC)

Ответ на: комментарий от TDrive 06.11.13 23:50:10 UTC

ого! про шедов не знал :/

«ранее» это до полного взлома. пару дней до этого я заметил некоторые странности но не понял что случилось. Сперва просто баловались - выключали сервер игры (но это можно сделать из самой игры без влезания на линукс машину).

основы атрибутов доступа я знаю. шелл-скрипт был доступен на запись только админом. игра запускалась под обыным юзером. скрипт правильный (с оф. сайта). кроме самого тф2 ещё установлено куча плагинов к нему (но их модерируют)

dimic
(07.11.13 00:05:15 UTC) автор топика

Ответ на: комментарий от dimic 07.11.13 00:05:15 UTC

игра запускалась под обыным юзером

Скрипт запуска игры запускается из под рута, иначе перечисленные команды не сработали бы. И видимо есть доступ на редактирование скрипта запуска от обычного пользователя.

TDrive ★★★★★
(07.11.13 00:09:21 UTC)

Ссылка

Ответ на: комментарий от TDrive 06.11.13 23:50:10 UTC

запускать эти задачи из под этих пользователей, а не из под рута

скрипт находился в init.d и стартовал от рута, но в нём:

su $SRCDS_USER --login --command="screen -d -m -S \"$NAME\" \"$DAEMON\" \"$PARAMS\"

получается, работал тф2 серер под юзером, но стартовал рутом..

как праильно запускать от пользователя (чтобы автоматом как мускуль или апач при старте) ?

dimic
(07.11.13 00:20:10 UTC) автор топика

Ответ на: комментарий от dimic 07.11.13 00:20:10 UTC

Запускается правильно. Значит у этого скрипта были установлены права на запись любым пользователем. Либо они действительно напихали в него команд уже имея рут доступ, по непонятным причинам.

TDrive ★★★★★
(07.11.13 05:27:28 UTC)
Последнее исправление: TDrive 07.11.13 05:27:55 UTC (всего исправлений: 1)

Ссылка

Ответ на: комментарий от dimic 07.11.13 00:20:10 UTC

как праильно запускать от пользователя (чтобы автоматом как мускуль или апач при старте) ?

апач и mysql сами меняют своего пользователя после запуска, им права рута нужны чтобы например открыть на прослушивание порты с номерами ниже 1000, они только из под рута открываются.

TDrive ★★★★★
(07.11.13 05:37:40 UTC)
Последнее исправление: TDrive 07.11.13 05:39:55 UTC (всего исправлений: 1)

Ссылка

Ответ на: комментарий от TDrive 06.11.13 23:50:10 UTC

Да хоть под пользователем пускай, будто школота сплойты не нагуглит.

anonymous
(08.11.13 05:44:05 UTC)

Ответ на: комментарий от anonymous 08.11.13 05:44:05 UTC

Да хоть под пользователем пускай, будто школота сплойты не нагуглит.

Так может вообще пароли нигде не ставить, всеравно эксплойт нагуглят.

TDrive ★★★★★
(08.11.13 07:27:40 UTC)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	4 удаленных офиса соединить в одну сеть mikrotik

Admin

Разрешение frambuffer

→

Похожие темы