Re: Włamanie - co dalej?
10-11-07, Mikołaj Menke <clauz@epf.pl> napisał(a):
> Witam.
> Na serwerze zdarzyło się włamanie. Ktoś w nieautoryzowany sposób posiadł
> hasło użytkownika i skasował jego stronę www, podmieniając własnym
> "podpisem" oraz dorzucając php shell. Prawdopodobnie zrobił to przez
> ftp. Przez jakiś czas korzystał z tego php shella oraz ostatnio
> zalogował się przez ftp z pewnego hosta. Zorientowałem się niestety dość
> późno o całym zajściu, zabezpieczyłem logi i teraz zastanawiam się co
> robić. Pierwsze pytanie to czy warto iść na policję? Drugie pytanie co
> tak naprawdę mógł ten ktoś zrobić - czy tylko zniszczył dane użytkownika
> czy też w zasadzie mogę się przymierzać do reinstalacji systemu.
> Jeśli to coś pomoże to system to: kernel 2.6.15, Apache/1.3.34 (Debian)
> PHP/5.2.0-8+etch7. Po zbadaniu systemu moim zdaniem nic mu nie jest i
> tylko ktoś schrzanił pliki użytkownika, ale oczywiście pewności nie ma.
> Czy jest jakiś sposób sprawdzenia systemu, bo powiem szczerze, że wizja
> reinstalacji przeraża mnie. :-/
najlepiej przejedź od poczatku do konca tutorial securing debian i
opczytaj o pakietach z "działu" forensics.
pokręć sie gdzies w tych rejonach.
http://www.debian.org/doc/manuals/securing-debian-howto/ch-after-compromise.en.html
badanie przyczyn i skutków włamania to dość interesująca sprawa -
jesli tylko uda ci sie ustalić co sie dokladnie stało - podrzuć jakieś
info na liste.
pozdr.
--
Wojciech Ziniewicz
Unix SEX :{look;gawk;find;sed;talk;grep;touch;finger;find;fl
ex;unzip;head;tail; mount;workbone;fsck;yes;gasp;fsck;more;yes;yes;eje
ct;umount;makeclean; zip;split;done;exit:xargs!!;)}
Reply to: