Итак, вчера я узнал, что мой сервер был рутирован с помощью эксплойта h00lyshit. Пока что я удалил все файлы, которые могли быть связаны с эксплойтом. Я также удалил все ключи ssh в ~/.ssh/authorized_keys. Я изменил пароль root на пароль из 25 случайных символов, а также изменил пароли mysql.
Также я думаю, что злоумышленник был из Италии, и, поскольку мне нужен доступ только из моей страны, я заблокировал все диапазоны IP-адресов, кроме моей собственной страны, поможет ли это?
Ребята, есть ли у вас какой-нибудь хороший совет, что мне делать? Я планирую отключить root через ssh (я должен был сделать это намного раньше, я знаю :(). И есть ли способ проверить, может ли он снова получить доступ к моему серверу?
К счастью, никаких повреждений не было, о, я использую Debian Lenny с ядром 2.6.26, если кому-то интересно.
PS: ура мой первый вопрос: D
Вам следует восстановить сервер из заведомо исправной резервной копии. Нет никакого реального способа узнать, что никаких других задних дверей не было установлено?
я буду всегда выступать за полное восстановление в случае известного компромисса. Это единственный безопасный способ.
Предполагая, что у вас есть резервные копии, они недавние и охватывают не только данные на сервере, у вас есть материалы для криминалистики.
Если вы еще не используете такой инструмент, как Chef или Puppet, для быстрого восстановления до известного состояния, тогда приступайте.
После того, как машина была перестроена, вам нужно подумать о векторах атак и о том, как с ними бороться. Вы упомянули свою конфигурацию ssh - есть много других - для параноидального подхода, ориентированного на Redhat, посмотрите здесь:
http://www.nsa.gov/ia/_files/factsheets/rhel5-pamphlet-i731.pdf
Для Debian и аналогичного подхода посмотрите здесь:
Debian dot org / doc / manuals / securing-debian-howto /
Удачи.
К сожалению, поскольку у него был root-доступ, невозможно точно узнать, что хакер сделал с системой. Они могли модифицировать журналы, чтобы скрыть свои следы и любой другой нанесенный ущерб. Форматирование и переустановка или восстановление из заведомо исправных резервных копий - единственный безопасный способ. Удачи.
В следующий раз отключите вход root, измените порт ssh и сразу же включите iptables.
Лично, если я получу root-доступ, в идеале взять данные из резервной копии. Если нет, возьмите его с сервера, загрузите и уничтожьте. (http://www.dban.org/)