востановление после взлома

0

0

Стоял, никому не мешал небольшой сервер фирмы. ССХ и НАТ на нем крутился. На прошлой неделе поднял на нем SMTP/IMAP и по всей видимости стало началом конца. Вчера его ломанули. Грубовато, следы не заметены. В логах ссх видно что зашел рут (хотя ему доступа нет). Сам /usr/sbin/sshd подменили. Собственно вопрос, что делать? Переставлять систему или можно подчистить? Если чистить то что?

Да и похоже какой-то резидент в системе. Потому что

$ stat /usr/sbin/sshd

...

Access: (0777/-rwxrwxrwx)

$ rm -f /usr/sbin/sshd

rm: cannot remove /usr/sbin/sshd: Operation notpermitted

Ссылка

←	iptables: No chain/target/match by that name

DDos на Apache

→

переставлять

anonymous
(28.01.08 11:42:41 MSK)

Ссылка

Читать FAQ этого раздела, потом переставлять.

dn2010 ★★★★★
(28.01.08 11:46:36 MSK)

Ссылка

Вопрос не совсем в тему. Что за дистр/версия и что за SMTP/IMAP?

Valmont ★★★
(28.01.08 23:45:42 MSK)

Вопрос не совсем в тему. Что за дистр/версия и что за SMTP/IMAP?

anonymous
(28.01.08 23:58:02 MSK)

Ссылка

> Собственно вопрос, что делать? Переставлять систему или можно подчистить? Если чистить то что?

Полный reinstall, включая загрузчик.

birdie ★★★★★
(29.01.08 11:48:07 MSK)

Ответ на: комментарий от birdie 29.01.08 11:48:07 MSK

OpenBSD! OpenBSD! OpenBSD!

Balmer

anonymous
(29.01.08 17:17:32 MSK)

Ссылка

Ответ на: комментарий от Valmont 28.01.08 23:45:42 MSK

> Вопрос не совсем в тему. Что за дистр/версия и что за SMTP/IMAP?

Debian etch, Smtp - postfix, imaps/pops - dovecom .

mrco ★★
(30.01.08 13:08:25 MSK) автор топика

Ответ на: комментарий от mrco 30.01.08 13:08:25 MSK

Поздноватый комментарий, но имело бы смысл сначала сделать образ диска, чтобы потом понять, через что поимели систему. Наверно дырка была или в ядре или в каких-нибудь смежных сервисах/библиотеках. Вряд ли это сами smtp/pop3/imap. Хотя, конечно, могут быть другие различные варианты - типа утечки рутового пароля тем или иным образом или "специфика конфигурации".

Valmont ★★★
(31.01.08 11:01:14 MSK)

Ссылка

Чтоб удалить файл, надо не на него смотреть права, а на каталог. Кроме того, вывод больше похож на то, что поменяли extended attributes. Смотреть lsattr.

А по теме, то можно и вылечить, но IMHO в данном случае проще сохранить данные (только!), настройки (все!) сохранить отдельно и пересмотреть очччень внимательно. Естественно, пока будет переустанавливаться система.

sstass
(02.02.08 01:21:52 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	iptables: No chain/target/match by that name

Security

DDos на Apache

→

Похожие темы