LINUX.ORG.RU
ФорумTalks

А это уже интересно. Как организовать восстановление после вирусни?

 


0

1

https://www.linux.org.ru/forum/admin/12872905?lastmod=1473690093739

Вот тут у человека интернет в протёк в сервер, бывает конечно неприятность.

Но сразу возник праздный вопрос, а как сделать так, чтобы было обидно, но не больно?

Заставлять себя и окружающих перейти на циклы релизов сайта?
Когда из разработки сайт уходит сперва на болванки, с подсчитыванием контрольных сумм и уже после этого только отправлять на сервер?

Т.е. выстраивать многоуровневую схему:

1) образ ОС
2) образ «сайта»

а потом брать за основу исходный образ ОС, установленной без подключения к сети", разворачивать на железе, обновлять, опять архивировать с пометочкой СтартоваяОС + апдейты от 01-09-2016

и всё это хранить в сейфе и разных местах, с печтаной инструкцией по аварийному откату сервера?

Deleted

Выводишь полный список файлов в каталогах /etc /user /bin /sbin /lib данный список копируешь на другой носитель.

Если вдруг система взломана. Сравниваешь имеющийся список файлов с исходным. Ещё лучше будет если записать хэши файлов. Среди отличающихся файлов ищешь вирусные скрипты.

Для обезвреживания вирусов если они имеют привычку перезапускатся, создаёшь пользователя которому нельзя поднимать права, присваиваешь ему права на все заражённые файлы и ставишь бит suid. Таким образом после перезапуска ОС, все вирусы окажутся заперты в окружении одного из пользователей.

Следует освободить оперативную память от любых подозрительных процессов с root правами, делать этом можно на уровне выполнения init 2. Так же надо обязательно обновить и переустановить все пакеты.

Затем следует проверить /etc/passwd и /etc/group, на наличие странных пользователей. А в конфигурационном файле ssh закрыть доступ всем кроме одного пользователя.

Ещё следует проскандировать на открытые порты.

rezedent12 ☆☆☆
()

Зачем болванки, когда можно юзать git? В совокупности с корректно настроенными правами и выносом в RO всей статики должно быть весьма стабильно.

Sadler ★★★
()

Best practices

Не понял что у человека за проблема. Однако предположу, что она решается применением общепризнанных «best practices»:

  • Иметь резервные копии данных и отработанные процедуры восстановления (и данных, и ОС)
  • Устанавливать ПО только из доверенных источников
  • Недоверенное ПО запускать в chroot'е или изолировать другим способом
Camel ★★★★★
()

В дополнение к уже озвученному предложению использовать vcs замечу что твои «пишу на болванки @ храню в сейфе» тоже прошлый век, надо делать снапшоты\образы ВМок или использовать всякие докеры. Сюда же оркестратор.

Вообще даже не глядя на безопасность - у тебя должна быть возможность развернуть твой стенд «с нуля» за минимальное время. Если у тебя код лежит в VCS и конфигурация стенда описана в puppet\Ansible (и тоже лежит в каком-нибудь git'е) то задача сводится тупо к нарезанию виртуалок в случае глобального факапа. Если у тебя там куски дистрибутива разработчики кидают в скайп а конфижит все какой-то Васян по ssh в nano из далекого Свердловска то такая вот нештатная ситуация привет к долгому простою проекта.

alozovskoy ★★★★★
()
Ответ на: комментарий от aidaho

Automated deployment, не?

Давайте так, поиграем в роли.
Я - быдло-адмо-эникей, которому досталось такое вот целое дело, аж сервер в интернете.


Я не знаю что это такое автоматический деплой. Но зато хорошо учился линуксу на ЛОРе, Опеннете и Васян в Вконтакте подсказывал как надо правильно рубить диск в gparted.

Да, есть конечно же модный GIT (а то и Гитхаб-ище), где друг Васяна пишет наш свайт!

Приходим в корень ситуации: на сервере какие-то непонятные вирусы, куча who и ничего толком не работает.

Задача:
быстро немедленно, скорей-скорей. Восстановить Сервер!
Так же случился проблеск разума - я уверен что друга Васяна, который писал «свайт» - хакнули. А друг этот сидел почти рядом, в винде и коммитил в два гита. Т.е. я не могу доверять внутренней сети, откуда льется конфигурация, Да! Мы с другом Васяна настолько криворукие студенты, что нам пофиг!

Вывод:
Где взять достоверный бэкап ОС и «свайта»???

Для поперчить: Над нами бегает ИП-шник Чпокатило, который на доступном человеческом языке объясняет что мы редиски и сайт ему нужен послезавтра уже с клиентами

Deleted
()
Последнее исправление: RTP (всего исправлений: 1)

Ловил похожую херню, два процесса друг друга запускали и переименовывали каждый раз в новую абракадабру.

Загрузился с rescue-cd и грохнул оба бинарника.

svr4
()
Ответ на: комментарий от Deleted

Automated deployment не отменяет необходимости в disaster recovery plan.

Именно в таком документе формально определяется что необходимо сделать для восстановления функциональности в самых разных случаях, даже если моль побила все продакшен сервера.

eabi
()
Ответ на: комментарий от Deleted

Усложним ситуацию: ДК- Чпокатило имеет ограниченный ресурс на оплату и нуждается в двух жебилах-студентах, которые боль-менее соображают как работал сервер с сайтом. Поэтому он кагбэ человеческим языком разговаривает, но понимает что под зад коленом нам давать нельзя. Чувак со стороны обойдется дорого.

Deleted
()
Ответ на: комментарий от Deleted

Я - быдло-адмо-эникей
Т.е. я не могу доверять внутренней сети, откуда льется конфигурация
Вывод:
Где взять достоверный бэкап ОС и «свайта»???

Вали все на разработчиков. Пусть сидят и чистят свою гит репу, ибо нефиг.

goingUp ★★★★★
()
Ответ на: комментарий от goingUp

Я - быдло-адмо-эникей

Ну и по канонам жанра, переустановка ОС на сервере

goingUp ★★★★★
()
Ответ на: комментарий от Deleted

Корабль оставить и потопить вместе с крысами.
На верфи заказать новый.
Прочитать записку к G.E.C.K., направить его в сторону нового корабля, зажмуриться и нажать кнопку.

Это если база на отдельной шхуне. Если там же, то сначала забрать её.

Дальше пусть эти свингеры играют в любые возбуждающие их ролевые игры, покуда хватает фантазии.

aidaho ★★★★★
()
Ответ на: комментарий от rezedent12

Садись, два. Первое что делают - подслвывают свои утилиты типа ls которые вирусню не показывают.

invy ★★★★★
()

интернет в протёк в сервер

я тебя не понимать

reprimand ★★★★★
()
Ответ на: комментарий от invy

Садись, два. Первое что делают - подслвывают свои утилиты типа ls которые вирусню не показывают.

Значит надо посмотреть содержимое переменной пути и переустановить ls.

rezedent12 ☆☆☆
()

Пока что вывод у меня такой:

ИП Чпокатило звонит каждые 20 минут и человеческим голосом справляется о здоровье свайта.
Ему приходится отсвечивать тоже голосом, но так, чтобы в ухо через трубку кулаком не прилетело.

Тут мне надо быстро и решительно становиться отважным мудаком и на свою ответственность пытаться поставить новый экземпляр ОС и накатить обновки.

Т.е. это от 4 до 12 часов времени.

Deleted
()

Переставить ОС - вернее всего

ПОТРАЧЕНО!

cnupm
()
Ответ на: комментарий от invy

Ну, в линупсятине - да.

PS. Админы локалхостов под питухом - а он ведь правильно говорит - инит заражен, sh заражен, live cd не поможет, что делать будете?

cnupm
()
Ответ на: комментарий от cnupm

Везде. Если у тебя вирус и руткит, то все под корень сносить. Другое дело если снрвер в контейнере и заражен контейнер...

invy ★★★★★
()
Последнее исправление: invy (всего исправлений: 1)

По описанной схеме можно юзать контейнеры machinectl - контейнер взаимодействующий с внешним миром и сносимый при необходимости обновления, и другой контейнер в который накатываются обновления и который плавно перетекает в продакшн каждый раз будучи девственно-чистым (при этом заменяя возможно скомпрометированный контейнер описанный ранее). Засада тут только в том что сайты давно не набор HTML-страничек, и если брать это в рассчёт, то тогда всё становится не так просто. Плюс если дыра не в системном пакете, а где-то в коде какого-нибудь веб-скрипта, то такой подход не спасёт - развёртываемый обновлённый контейнер будет перезаражаться в скором времени после развёртывания, причём скорее всего в автоматическом режиме.

RussianNeuroMancer ★★★★★
()
Ответ на: комментарий от Deleted

Ну я один раз был в такой ситуации. Предупредил о всех проблемах, сказал, что без переустановки ваще никаких гарантий нет. Заказчик сказал - побоку, заполируем, делай наживую. Сделал rpm -Va, поудалял вирусню, chattr на некоторые файлы убрал, обновил всё, взял некисло денег. Сервер, AFAIK, работает до сих пор.

Deleted
()
Последнее исправление: Deleted (всего исправлений: 1)
Ответ на: комментарий от invy

Ага, ну-ну. Если был взлом - только форматирование и перестановка.

Нет в тебе задора.

rezedent12 ☆☆☆
()

Четал тред, вспоминал винфак образца 2005 года и плакал.

Neurotizer
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.