LINUX.ORG.RU
ФорумGeneral

взломана машина под linux, помогите с всостонавлением


0

0

Ситуация следующая. Не знаю кто и как но не смотря на все принятые меры, кто-то проник на веб сервер под RedHat Linux 7.0. Результат следущий. Зменен изначальный файл /etc/rc.d/init.d/functions. И не просто изменен - его теперь нельзя ни отредактировать, ни переименовать, ни удалить даже !!! из под root! Изменены файлы - /sbin/syslogd, /etc/rc.d/inet.d/xinetd,/etc/rc.d/inet.d/syslogd,/etc/rc.d/inet.d/atd и еще многь чего. НО!!! самое главное, что меня беспокоит это то, что многие файлы стали недоступны для удаления, переименования, редактирования. Кто нибудь может сказать как взломщик смог добиться такого эфекта и как его устранить?

anonymous

Использованы стандартные атрибуты. См. man lsattr/chattr.

anonymous
()

ОГРОМНОЕ СПАСИБО!!! А то я уж думал что прийдется все переустанавливать...

anonymous
()

лично я бы переустановил.... cудя по всему поковыряли машину хорошо, вы уверены что сможете _все_ грамотно вычистить ? учитывая ваш вопрос про lsattr/chattr - думаю нет (маловато у вас знаний о security , только без обид - ладно ?) и после переустановки - _тщательно_ отконфигурить сервер , если есть рядом гуру - посоветовавшись с ним.

sasha999 ★★★★
()

Переустановить надо обязательно!

anonymous
()

В случае грамотного взлома даже для гуру простейшим способом восстановления зачастую является переустановка системы. Особенно если при этом осуществляется переход от ТОГО_ЧТО_СТОЯЛО, к тому, что ТЫ_ХОРОШО_ЗНАЕШЬ.

А от потерь в этом случае спасет бэкап ДАННЫХ.

Good Luck!

Ikonta_521
()

перед переустановкой посмотри диры типа /dev/.- /dev/. и т.п. мож чего в них полезного оставили хакеры :)

anonymous
()

Ребят, а не могло получиться так, что проглючила FS? У меня на 486-й такая хрень была. На ReiserFS. :-) Файл /etc/smb.conf попал на bad-сектор. :-))) Тоже не получается удалить/открыть/изменить. :-))) Причем, ее ТОЧНО не хакнули, ибо стоит она у меня дома не подключенная к инету и используется в качастве файл-помойки. :-)

P. S. А вообще бы было не плохо сделать по уму, а именно: снести Шапку -> поставить Slackware по минимуму -> выкачать сырцы нужного софта -> скомпилячить софт.

P. P. S. Ну и, ессно, помучать файлы типа /etc/inetd.conf на предмет запрещения обработки вызовов по ненужным протоколам. (а еще лучше, inetd вообще не запускать).

R00T
()

если влом переустанавливать все - rpm -V и переустановка с --force всех битых пакетов

ananas ★★★★★
()

da ya bi systemu perestavil nahren, sebe men'she moroki da i potom spokoynee budet.

anonymous
()

Переустановить, причем обязательно пересоздать файловые системы (в досовых терминах -- все переформатировать нах).

В противном случае ждите проблем с недобитым руткитом. Проходили, напарывались.

Теперь по поводу бэкапа. НЕ БЭКАПИТЬ никакие исполняемые файлы, только данные. Касаемо скриптов и исходников: если Вы не уверены на 100% (путем анализа исходного текста или сравнения md5sum с эталонным), что данный файл не изменен, ему место одно -- /dev/null.

На будущее следите как минимум за cert.org, bugtraq и регулярно проводите updates своего дистрибутива.

Obidos ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
General