Re: Włamanie - co dalej?
Trochę OT, ale swoje zdanie wyrażę... :) = Dnia: środa, 14 listopada 2007 23:15, Grzegorz Makarewicz pisze: [ciach] no niestety mozna olac pewne wlamania - sam gadalem z gutkiem (kiddie) przez terminal - wlasnie zlapalem go jak sie wlamal :) widzialem jak to zrobil. I takiego kogos mam scigac ? - on sie tylko dostal do shell-a, nic nie zrobil bo nie wiedzial co moze robic (script kiddie) - dla niego postawilem flaszke :) - udowodnil mi, ze sie mylilem, mialem stare oprogramowanie o znanych dziurach i tyle. Tak, ścigać. :)) - mlody uczen ogolniaka zafascynowany komuterami uruchomil gotowca do wlamow na binda - i niechcacy sie wlamal na serwer cisco w ... i mam mu zrojnowac zycie ze sam dalem dupy ? Tak, po raz drugi, zrujnować ('u' zwykłe :) ). Dlaczego dwa razy tak? Jak kioskarz złapie gościa, który mu tylko wytrychem otworzył drzwi, ale nic nie wyniósł (punkt pierwszy), albo 'niechcący' wywalił niekuloodporną szybę w kiosku (punkt drugi), to nie idzie z tym na policję? Dlaczego miałby nie iść? Złem jest nie tylko niszczenie zabezpieczonych serwerów, ale nieuprawniony dostęp -- nawet jak dane/serwery itp. były NIEDOSTATECZNIE zabezpieczone... Po prostu miłe złego początki... :) Jeżeli już w tych przypadkach NIE ścigać to tylko z powodu niewielkiej skuteczności organów ścigania (w tak drobnych sprawach)... pzdr, jmb -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Włamanie - co dalej?
On Tue, Nov 13, 2007 at 11:40:52PM +0100, Jaroslaw Bylina wrote: = Dnia: wtorek, 13 listopada 2007 22:57, Mikołaj Menke pisze: Dnia 2007-11-13 10:41 użytkownik Wojciech Zareba napisał : Ja - dla spokojności sumienia - zainstalował bym od początku. Po numerze kernela widać, że to co masz zainstalowane, to nie jest Etch z płytki, więc może warto choćby z tego powodu? Poza tym, jeśli na tym serwerze chodzi tylko apache, instalacja nie powinna Ci zająć więcej niż 1-2 godziny razem z wszelką konfiguracją i testowaniem, przynajmniej takie jest moje doświadczenie. Sęk w tym, że nie tylko apache, ale całe mnóstwo innych rzeczy. :-( Tym bardziej przeinstaluj... :) I może warto przy okazji zastanowić się jakimś rozwiązaniem na disaster recovery. Puppet wygląda obiecująco... -- Marcin Owsiany [EMAIL PROTECTED] http://marcin.owsiany.pl/ GnuPG: 1024D/60F41216 FE67 DA2D 0ACA FC5E 3F75 D6F6 3A0D 8AA0 60F4 1216 -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Włamanie - co dalej?
On Wed, Nov 14, 2007 at 08:06:48AM +0100, Jerzy Patraszewski wrote: IMHO - nie masz się co przejmować za bardzo (?), jeśli twój serwer był skonfigurowany zgodnie z zasadami sztuki. Właśnie w tym problem, że nie był. Miał stare jądro, zapewne z nie jedną dziurą umożliwiającą uzyskanie praw nadzorcy. Więc wszystko rozbija się o dylemat - poświęcać czas i energię na przebudowanie systemu, czy przejechać chkrootkitem i wierzyć, że faktycznie nie ma backdoorów. Marcin PS: Możesz ustawić jakieś sensowniejsze zawijanie linii? -- Marcin Owsiany [EMAIL PROTECTED] http://marcin.owsiany.pl/ GnuPG: 1024D/60F41216 FE67 DA2D 0ACA FC5E 3F75 D6F6 3A0D 8AA0 60F4 1216 -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Włamanie - co dalej?
Jak doniosły WSI, dnia Wed, 14 Nov 2007 10:17:41 + Marcin Owsiany [EMAIL PROTECTED] napisał(a): On Wed, Nov 14, 2007 at 08:06:48AM +0100, Jerzy Patraszewski wrote: IMHO - nie masz się co przejmować za bardzo (?), jeśli twój serwer był skonfigurowany zgodnie z zasadami sztuki. Właśnie w tym problem, że nie był. Miał stare jądro, zapewne z nie jedną dziurą umożliwiającą uzyskanie praw nadzorcy. Więc wszystko rozbija się o dylemat - poświęcać czas i energię na przebudowanie systemu, czy przejechać chkrootkitem i wierzyć, że faktycznie nie ma backdoorów. Marcin PS: Możesz ustawić jakieś sensowniejsze zawijanie linii? Witaj, uważam w tej sytuacji, że szybciej ci będzie postawić system na nowo a nie bawić się w zgadywankę. Dalej uważam, że to jakiś dzieciak, ale mimo wszystko ja bym zrobił dd tego dysku, system postawił na nowo, a obraz z dysku z włamu zostawił dla celów edukacyjnych. Zawsze wieczorem, przy piwie możesz odpalić w vmware/virtualbox/xen/cokolwiek sobie iso i rozpocząć analizę. IMHO - jeżeli sam nie masz zaufania do systemu to go przeinstaluj poprawnie. Co do samego jądra, to grsec uniemożliwia wykorzystanie większości nowych (i starych) dziur (np ptrace local escalation - PoC venglina) - polecam :) Pozdr. sm0q
Re: Włamanie - co dalej?
Jak doniosły WSI, dnia Wed, 14 Nov 2007 13:29:35 +0100 Wojciech Ziniewicz [EMAIL PROTECTED] napisał(a): 14-11-07, Jerzy Patraszewski [EMAIL PROTECTED] napisał(a): Podsumowując: grsec+pax+chroot+suexec+separacja --ciach trzeba sobie uswiadomić ,że najwazniejsze nie są te wszystkie patche na jadro , selinux itd - to powinno wynikać raczej z włąsnej potrzeby anizeli z tego ze ktos to podpowiedział bo wtedy sytuacja wyglada w ten sopsob ze np. mamy selinuxa ale nie wiemy co to audit w syslogu ;) --ciach - czujny i swiadomy admin - polityka oddebilniania userów (zakaz zakładania konta test haslo test itp) - podstawowe CZYNNOSCI (nie mowie ze to są jakiekolwiek --ciach BACKUPY . --ciach i pod twoim postem podpisuję się oboma rękami i nogami :) Pozdr. sm0q
Re: Włamanie - co dalej?
Cześć, Nie jakis dzieciak lecz wlamywacz, dzieciak tez moze byc wlamywaczem i to bardzo niebezpiecznym. Jakieś dwa lata temu były włamania na serwery w kilkunastu miastach w Polsce - podstawiania MIM w Policach, Choszczenie, Bydgoszczy, ... Ludzie nie zwracali uwagi na głupie włamanie na linuxa wyrabiającego się jako router, na router Cisco tez nie. Użytkownicy rownież nie widzieli pootwieranych klódek w przeglądarkach. Na koniec końców - zdefraudowano kilkaset tysięcy złotych i nikt nie wiedział dlaczego i kto i jak - czarna magia, a w logach Peru. Konkluzja: Jeżeli to jest włamanie na dostępowe urządzenie do firmowego komputera - to jeszcze można to zlać. Jeżeli jest to włamanie na urządzenie dostarczające internet dla dziesiątek użytkowników - siec osiedlowa, miejska, itp - to sprawa dla policji. mak -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Włamanie - co dalej?
Witam, komntarze w tekście... Jak doniosły WSI, dnia Wed, 14 Nov 2007 21:02:29 +0100 Grzegorz Makarewicz [EMAIL PROTECTED] napisał(a): Cześć, Nie jakis dzieciak lecz wlamywacz, dzieciak tez moze byc wlamywaczem i to bardzo niebezpiecznym. -- ciach lol - w moim poście dzieciak to nie określenie wieku tylko wiedzy (vide script-kiddie), co do dzieciaków (wiekowo) mogę się zgodzić - bo sam mam 14-letniego siostrzeńca, który myka w nasm'ie :), ale to wyjątek (mam nadzieję). Jakieś dwa lata temu były włamania na serwery w kilkunastu miastach w Polsce - podstawiania MIM w Policach, Choszczenie, Bydgoszczy, ... Ludzie nie zwracali uwagi na głupie włamanie na linuxa wyrabiającego się jako router, na router Cisco tez nie. -- ciach to świadczy o głupocie adminów - MiTM to nie deface! i tutaj na pewno trzeba było powiadomić policję. Użytkownicy rownież nie widzieli pootwieranych klódek w przeglądarkach. -- a to o głupocie użytkowników ;) Na koniec końców - zdefraudowano kilkaset tysięcy złotych i nikt nie wiedział dlaczego i kto i jak - czarna magia, a w logach Peru. -- ciach jw. Konkluzja: Jeżeli to jest włamanie na dostępowe urządzenie do firmowego komputera - to jeszcze można to zlać. Jeżeli jest to włamanie na urządzenie dostarczające internet dla dziesiątek użytkowników - siec osiedlowa, miejska, itp - to sprawa dla policji. -- ciach Nic nie można zlać, jak możesz przeczytać to napisałem, że wnioski z analizy powłamaniowej implikują podjęcie odpowiednich kroków (również prawnych). Przykład: Ostatni włam u nas był jakieś 2 mieś. temu, inklud na jakiejś archaicznej wersji phpBB, ale leszcz który to zrobił zaczął denialować jedną z witryn w internecie - efekt? kosmiczny load na maszynce od ACK'ów. Czas reakcji: namierzenie problemu od rozpoczęcia ataku (netstat): ok. 20min., znalezienie problematycznej witryny i blokada - ok 5min.,analiza logów, kodu strony, użytego sploita itp - ok 2h. Wniosek? wszystko zależy co to za witryna, co zostało zaatakowane, jak, oraz jakie były skutki ataku. Co do włamywacza - używał proxy spoza Polski, więc olaliśmy ściganie mamuta, gra nie była warta śweczki. Sądząc po postach Marcina i jego aktywności na liście - nie należy on do przygłupich adminów :) i na pewno wyciągnie odpowiednie wnioski i podejmie właściwe decyzje :) Proponuję EOT. Pozdr. sm0q
Re: Włamanie - co dalej?
Jak doniosły WSI, dnia Wed, 14 Nov 2007 21:48:45 +0100 Jerzy Patraszewski [EMAIL PROTECTED] napisał(a): --ciach Sądząc po postach Marcina i jego aktywności na liście - nie należy on do przygłupich adminów :) i na pewno wyciągnie odpowiednie wnioski i podejmie właściwe decyzje :) --ciach Sorry, pomyliło coś mi się, oczywiście to nie problem Marcina tylko Mikołaja, to przez tak długi topic ;) Proponuję EOT. --ciach dlatego podtrzymuję EOT. Pozdr. sm0q
Re: Włamanie - co dalej?
Konkluzja: Jeżeli to jest włamanie na dostępowe urządzenie do firmowego komputera - to jeszcze można to zlać. Jeżeli jest to włamanie na urządzenie dostarczające internet dla dziesiątek użytkowników - siec osiedlowa, miejska, itp - to sprawa dla policji. -- ciach Nic nie można zlać, jak możesz przeczytać to napisałem, że wnioski z analizy powłamaniowej implikują podjęcie odpowiednich kroków (również prawnych). no niestety mozna olac pewne wlamania - sam gadalem z gutkiem (kiddie) przez terminal - wlasnie zlapalem go jak sie wlamal :) widzialem jak to zrobil. I takiego kogos mam scigac ? - on sie tylko dostal do shell-a, nic nie zrobil bo nie wiedzial co moze robic (script kiddie) - dla niego postawilem flaszke :) - udowodnil mi, ze sie mylilem, mialem stare oprogramowanie o znanych dziurach i tyle. :)) - mlody uczen ogolniaka zafascynowany komuterami uruchomil gotowca do wlamow na binda - i niechcacy sie wlamal na serwer cisco w ... i mam mu zrojnowac zycie ze sam dalem dupy ? mak -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Włamanie - co dalej?
Ja - dla spokojności sumienia - zainstalował bym od początku. Po numerze kernela widać, że to co masz zainstalowane, to nie jest Etch z płytki, więc może warto choćby z tego powodu? Poza tym, jeśli na tym serwerze chodzi tylko apache, instalacja nie powinna Ci zająć więcej niż 1-2 godziny razem z wszelką konfiguracją i testowaniem, przynajmniej takie jest moje doświadczenie. Pozdrawiam Wojtek Zaręba
Re: Włamanie - co dalej?
On Nov 10, 2007 9:33 AM, Wojciech Ziniewicz [EMAIL PROTECTED] wrote: 10-11-07, Mikołaj Menke [EMAIL PROTECTED] napisał(a): Witam. Na serwerze zdarzyło się włamanie. Ktoś w nieautoryzowany sposób posiadł hasło użytkownika i skasował jego stronę www, podmieniając własnym podpisem oraz dorzucając php shell. Prawdopodobnie zrobił to przez ftp. Przez jakiś czas korzystał z tego php shella oraz ostatnio zalogował się przez ftp z pewnego hosta. Zorientowałem się niestety dość późno o całym zajściu, zabezpieczyłem logi i teraz zastanawiam się co robić. Pierwsze pytanie to czy warto iść na policję? Drugie pytanie co tak naprawdę mógł ten ktoś zrobić - czy tylko zniszczył dane użytkownika czy też w zasadzie mogę się przymierzać do reinstalacji systemu. Jeśli to coś pomoże to system to: kernel 2.6.15, Apache/1.3.34 (Debian) PHP/5.2.0-8+etch7. Po zbadaniu systemu moim zdaniem nic mu nie jest i tylko ktoś schrzanił pliki użytkownika, ale oczywiście pewności nie ma. Czy jest jakiś sposób sprawdzenia systemu, bo powiem szczerze, że wizja reinstalacji przeraża mnie. :-/ najlepiej przejedź od poczatku do konca tutorial securing debian i opczytaj o pakietach z działu forensics. pokręć sie gdzies w tych rejonach. http://www.debian.org/doc/manuals/securing-debian-howto/ch-after-compromise.en.html badanie przyczyn i skutków włamania to dość interesująca sprawa - jesli tylko uda ci sie ustalić co sie dokladnie stało - podrzuć jakieś info na liste. pozdr. Jak skonczysz narpawiac wszystko, to zainstaluj sobie logcheck Lukasz -- -- Vim auto completion for python http://lucasmanual.com/mywiki/FrontPage#head-8ce19b13e89893059e126b719bebe4ee32fe103c TurboGears from start to finish: http://www.lucasmanual.com/mywiki/TurboGears
Re: Włamanie - co dalej?
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Lukasz Szybalski napisał(a): Jak skonczysz narpawiac wszystko, to zainstaluj sobie logcheck Lukasz aide pomaga wyłapać czy włamywacz podmienił jakieś binaria (i nie tylko) tiger skonfigurowany do wysyłania maili/sms/whatever pomaga skrócić czas w którym włamywacz harcuje bez wiedzy admina - -- Pozdrawiam Krzysztof Jastrzębski Jotka Usługi Informatyczne jotka[at]jastrzebscy[dot]pl http://jotka.jastrzebscy.pl/ -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.6 (GNU/Linux) iD8DBQFHOcIlgzQmZ4O8YgkRAvWzAJ9D58MCIoRmgUhcrtD0Cd4rK7uNCQCgzDLm r9Vf4xIIXbOHX2EhcR9qUXA= =AYaZ -END PGP SIGNATURE- -- Kup bilet na najlepsze zawody Freestyle Motocross - DIVERSE Night of the Jupms! http://link.interia.pl/f1c5f -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Włamanie - co dalej?
Witaj Mikołaj, W Twoim liście datowanym 10 listopada 2007 (12:43:42) można przeczytać: Witam. Na serwerze zdarzyło się włamanie. Ktoś w nieautoryzowany sposób posiadł hasło użytkownika i skasował jego stronę www, podmieniając własnym podpisem oraz dorzucając php shell. Prawdopodobnie zrobił to przez ftp. Przez jakiś czas korzystał z tego php shella oraz ostatnio zalogował się przez ftp z pewnego hosta. Zorientowałem się niestety dość późno o całym zajściu, zabezpieczyłem logi i teraz zastanawiam się co robić. Pierwsze pytanie to czy warto iść na policję? Drugie pytanie co tak naprawdę mógł ten ktoś zrobić - czy tylko zniszczył dane użytkownika czy też w zasadzie mogę się przymierzać do reinstalacji systemu. Jeśli to coś pomoże to system to: kernel 2.6.15, Apache/1.3.34 (Debian) PHP/5.2.0-8+etch7. Po zbadaniu systemu moim zdaniem nic mu nie jest i tylko ktoś schrzanił pliki użytkownika, ale oczywiście pewności nie ma. Czy jest jakiś sposób sprawdzenia systemu, bo powiem szczerze, że wizja reinstalacji przeraża mnie. :-/ -- http://www.miki.z.pl [EMAIL PROTECTED] Gadu-gadu: 2128279 Mobile: +48607345846 IRC: `miki` Zgłoś incydent na stronie: http://www.cert.pl/ Podeśli im logi. -- Pozdrowienia, ** * Marek (SirAdams) Adamski * * http://www.siradams.com/ * *ICQ:42751516* * GG:14747 * * Linux user:#253788 * ** -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Włamanie - co dalej?
Dnia 2007-11-13 14:43 użytkownik Lukasz Szybalski napisał : Jak skonczysz narpawiac wszystko, to zainstaluj sobie logcheck Mam od dawna. -- http://miki.menek.one.pl [EMAIL PROTECTED] Gadu-gadu: 2128279 Mobile: +48607345846 IRC: `miki` -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Włamanie - co dalej?
Dnia 2007-11-13 10:41 użytkownik Wojciech Zareba napisał : Ja - dla spokojności sumienia - zainstalował bym od początku. Po numerze kernela widać, że to co masz zainstalowane, to nie jest Etch z płytki, więc może warto choćby z tego powodu? Poza tym, jeśli na tym serwerze chodzi tylko apache, instalacja nie powinna Ci zająć więcej niż 1-2 godziny razem z wszelką konfiguracją i testowaniem, przynajmniej takie jest moje doświadczenie. Sęk w tym, że nie tylko apache, ale całe mnóstwo innych rzeczy. :-( -- http://miki.menek.one.pl [EMAIL PROTECTED] Gadu-gadu: 2128279 Mobile: +48607345846 IRC: `miki` -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Włamanie - co dalej?
= Dnia: wtorek, 13 listopada 2007 22:57, Mikołaj Menke pisze: Dnia 2007-11-13 10:41 użytkownik Wojciech Zareba napisał : Ja - dla spokojności sumienia - zainstalował bym od początku. Po numerze kernela widać, że to co masz zainstalowane, to nie jest Etch z płytki, więc może warto choćby z tego powodu? Poza tym, jeśli na tym serwerze chodzi tylko apache, instalacja nie powinna Ci zająć więcej niż 1-2 godziny razem z wszelką konfiguracją i testowaniem, przynajmniej takie jest moje doświadczenie. Sęk w tym, że nie tylko apache, ale całe mnóstwo innych rzeczy. :-( Tym bardziej przeinstaluj... :) pzdr, jmb -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Włamanie - co dalej?
On Nov 13, 2007 3:56 PM, Mikołaj Menke [EMAIL PROTECTED] wrote: Dnia 2007-11-13 14:43 użytkownik Lukasz Szybalski napisał : Jak skonczysz narpawiac wszystko, to zainstaluj sobie logcheck Mam od dawna. A masz wszystkie logi? Jesli tam to mozesz je przejzec, dowiedziec sie z jakiego ip on przyszedl, puzniej znalesc wszytko co kolwiek mozesz znalesc z ip lub imie. Jesli nie masz to wtedy nie wiadomo co zrobili. Prawdopodobnie bedziesz musial odinstalowac i zainstalowac programy, poniewasz nie wiadomo ktore so dobre a ktore nie. Lukasz
Re: Włamanie - co dalej?
Witam, obserwuję ten wątek z dość dużym zainteresowaniem i w zasadzie zastanawiam się dlaczego drodzy koledzy nie odpowiadacie na temat? Przecież pytania są bardzo sprecyzowane. Nie chcę wywoływać jakiejś burzy w szklance wody więc postaram się coś podpowiedzieć w odniesieniu do tychże pytań. Ad.1 Jeżeli jakieś poufne dane mogły wpaść w łapki chakiera to na policję jak najbardziej warto iść, tyle, że im najlepiej byłoby przyprowadzić kolesia ze sobą i najlepiej żeby się przyznał ;) Dane poufne to oczywiście nie zawartość stopki tylko np. baza danych klientów (np. jeśli pod witrynę był podpięty jakiś mysql). Poza tym - czy za pomocą twojego serwera mógł być przeprowadzony jakiś DoS, spamowanie itp. Oczywiście decyzja należy do ciebie, ale jej podjęcie implikuje prawidłowa analiza pytania 2. Ad 2. Zalecane, ale nie zawsze możliwe: zrób kopię 1:1 dysku i analizuj kopię. Nie zawsze możliwe (cluster?). Idealnie by było, jakbyś miał zapasowy dysk/i ze skonfigurowanym systemem, wtedy przywracasz dane z kopii przed włamem, blokujesz felerną witrynę i spokojnie zabierasz się za analizę powłamaniową na innej maszynce. Poza tym metod, tutoriali itd. jest na pęczki - hasło forensics w googlach. Ale w życiu zazwyczaj nie jest tak pięknie więc: Przede wszystkim musisz wiedzieć jakie szkody mógł zrobić włamywacz. U nas hostując strony nie jesteśmy w stanie położyć serwerów tylko dlatego, że na jakiejś wirtualce ktoś zrobił deface'a albo zincludował sobie jakiś c99shell. Dlatego wdrożyliśmy suexec'a, aby w momencie włamu przez php napastnik mógł narozrabiać tylko z uprawnieniami user'a którego witrynę przejął. Czyli - jeżeli masz więcej niż jedną witrynę działającą z uprawnieniami np. www-data:www-data to musisz przeglądnąć wszystkie pliki o właścicielu/grupie www-data. Jeżeli miałeś osobnego usera tylko na tą witrynę to prawie (PRAWIE ?) na pewno nie musisz się obawiać jakiś większych strat. Dlaczego? Prawdopodobnie (przeanalizuj logi apacha) włam przez www (jakiś skrypciarz + google + exploit z milw0rma) z remote includem, a nie przez ftp (zakładam, że ftp-user nie może logować się shellem, prawda?). Po drugie - raczej dzisiaj już nie ma takich luk, które pozwoliłyby na łatwą eskalację uprawnień z user'a na root'a. Oczywiście przeanalizuj sobie czy włamywacz mógł: użyć shell'a, wyjść z chroot'a (jeśli używasz), miał dostęp do kompilatorów (jeśli masz je zainstalowane) itd - (tripwire/aide lub find/grep/perl are your friends :) ). IMHO - nie masz się co przejmować za bardzo (?), jeśli twój serwer był skonfigurowany zgodnie z zasadami sztuki. Po prostu zablokuj witrynę, pozmieniaj hasła, uaktualnij engine witryny (lub zostaw to klientowi) - pamiętaj, o wszystkim co jest hardcodowane w jakiś config.inc.php'ach - hasła mysql'owe, ftp'owe, pocztowe etc... Podsumowując: grsec+pax+chroot+suexec+separacja usług+mod_security+tripwire/aide+... - to na poziomie instalacji chrootkit+logcheck+spożytkowanie logów z ww. narzędzi +np. http://www.debian.org/doc/manuals/securing-debian-howto/ch-after-compromise.en.html (thx Wojtek) - to po włamie. reinstalacja od zera - absolutna koniczność BTW - dobrym pomysłem jest dedykowana maszynka na syslog-server. Jeśli wybierasz się na policję to przygotuj płytkę z logami, uważaj na znaczniki czasu! (use tar dude) Pozdrawiam sm0q
Włamanie - co dalej?
Witam. Na serwerze zdarzyło się włamanie. Ktoś w nieautoryzowany sposób posiadł hasło użytkownika i skasował jego stronę www, podmieniając własnym podpisem oraz dorzucając php shell. Prawdopodobnie zrobił to przez ftp. Przez jakiś czas korzystał z tego php shella oraz ostatnio zalogował się przez ftp z pewnego hosta. Zorientowałem się niestety dość późno o całym zajściu, zabezpieczyłem logi i teraz zastanawiam się co robić. Pierwsze pytanie to czy warto iść na policję? Drugie pytanie co tak naprawdę mógł ten ktoś zrobić - czy tylko zniszczył dane użytkownika czy też w zasadzie mogę się przymierzać do reinstalacji systemu. Jeśli to coś pomoże to system to: kernel 2.6.15, Apache/1.3.34 (Debian) PHP/5.2.0-8+etch7. Po zbadaniu systemu moim zdaniem nic mu nie jest i tylko ktoś schrzanił pliki użytkownika, ale oczywiście pewności nie ma. Czy jest jakiś sposób sprawdzenia systemu, bo powiem szczerze, że wizja reinstalacji przeraża mnie. :-/ -- http://www.miki.z.pl [EMAIL PROTECTED] Gadu-gadu: 2128279 Mobile: +48607345846 IRC: `miki` -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Włamanie - co dalej?
10-11-07, Mikołaj Menke [EMAIL PROTECTED] napisał(a): Witam. Na serwerze zdarzyło się włamanie. Ktoś w nieautoryzowany sposób posiadł hasło użytkownika i skasował jego stronę www, podmieniając własnym podpisem oraz dorzucając php shell. Prawdopodobnie zrobił to przez ftp. Przez jakiś czas korzystał z tego php shella oraz ostatnio zalogował się przez ftp z pewnego hosta. Zorientowałem się niestety dość późno o całym zajściu, zabezpieczyłem logi i teraz zastanawiam się co robić. Pierwsze pytanie to czy warto iść na policję? Drugie pytanie co tak naprawdę mógł ten ktoś zrobić - czy tylko zniszczył dane użytkownika czy też w zasadzie mogę się przymierzać do reinstalacji systemu. Jeśli to coś pomoże to system to: kernel 2.6.15, Apache/1.3.34 (Debian) PHP/5.2.0-8+etch7. Po zbadaniu systemu moim zdaniem nic mu nie jest i tylko ktoś schrzanił pliki użytkownika, ale oczywiście pewności nie ma. Czy jest jakiś sposób sprawdzenia systemu, bo powiem szczerze, że wizja reinstalacji przeraża mnie. :-/ najlepiej przejedź od poczatku do konca tutorial securing debian i opczytaj o pakietach z działu forensics. pokręć sie gdzies w tych rejonach. http://www.debian.org/doc/manuals/securing-debian-howto/ch-after-compromise.en.html badanie przyczyn i skutków włamania to dość interesująca sprawa - jesli tylko uda ci sie ustalić co sie dokladnie stało - podrzuć jakieś info na liste. pozdr. -- Wojciech Ziniewicz Unix SEX :{look;gawk;find;sed;talk;grep;touch;finger;find;fl ex;unzip;head;tail; mount;workbone;fsck;yes;gasp;fsck;more;yes;yes;eje ct;umount;makeclean; zip;split;done;exit:xargs!!;)}