LINUX.ORG.RU
ФорумTalks

сервер под атакой, что делать


0

0

пришло от хостинговой компании сообщение вида

IP yy.yy.yy.yy is currently linked to your main server IP хх.хх.хх.хх. Please login to server and carry out changes to stop abuse as we have been unable to login via ssh.

netstat -np | grep 173.192.234.22

выдаёт пусто

who показывает только меня

в логах нифига, в ластах нифига

в сообщениях системы есть вот такие замечательные строки то есть явно кто-то пытался взломать веб-приложение

Если удалось, то у взломщика явно должен быть рутовый доступ, чтобы почистить логи... это жопа, конечно.

где взять руткит хантер какой-нить?

centos 5.4 final

★★★★★

так же интересует вопрос, как проверить установленные программы на целость (должны же быть какие-то контрольные суммы?)

AndreyKl ★★★★★
() автор топика

>где взять руткит хантер какой-нить?

В репозитории? :) Так и называется - rkhunter

Что за атака вообще?

ZZaiatSS ★★
()

1) бекапы 2) ручками поискать, какие порты слушает, какие пользователи существуют, какие проги были доустановлены. Стереть все открытые и закрытые ключи для доступа в систему. Стереть все файлы, позднее часа Ч.

stevejobs ★★★★☆
()
Ответ на: ЕМНИП от Cancellor

угу, спасибо, по-моему похоже, пойду чекну верные ли урлы у yumа в настройках и попробую...

AndreyKl ★★★★★
() автор топика
Ответ на: комментарий от AndreyKl
 
extra/chkrootkit  
  Locally checks for signs of a rootkit. 
aur/rkhunter 
  An easy-to-use tool which checks machines running UNIX for the presence of rootkits and other unwanted tools 
aur/tiger 
  A security scanner, that checks computer for known problems. Can also use tripwire, aide and chkrootkit. 
aur/unhide 
  A forensic tool to find processes and TCP/UDP ports hidden by rootkits, LKMs or by other techniques. 

Выбирай ещё..

всё что знаю написал.

Тут первым делом надо атаку остановить а не руткиты искать..

ZZaiatSS ★★
()
Ответ на: комментарий от ZZaiatSS

а, ты в смысле того, что сервер в дауне или не работает.. так нет, он в порядке, хостер написал что кто-то подконектился по ssh ...

AndreyKl ★★★★★
() автор топика

быстро и решительно копируй всё нужное и ставь систему с нуля

золотое правило — скомпрометированная система теряет доверие

на будущее, чтобы такого избежать, используй виртуализацию, а на host node пусть крутится только ssh с доступом ПО КЛЮЧУ

Obey-Kun ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.