Re: Włamanie - co dalej?
On Nov 10, 2007 9:33 AM, Wojciech Ziniewicz
<wojciech.ziniewicz@gmail.com> wrote:
> 10-11-07, Mikołaj Menke <clauz@epf.pl> napisał(a):
> > Witam.
> > Na serwerze zdarzyło się włamanie. Ktoś w nieautoryzowany sposób posiadł
> > hasło użytkownika i skasował jego stronę www, podmieniając własnym
> > "podpisem" oraz dorzucając php shell. Prawdopodobnie zrobił to przez
> > ftp. Przez jakiś czas korzystał z tego php shella oraz ostatnio
> > zalogował się przez ftp z pewnego hosta. Zorientowałem się niestety dość
> > późno o całym zajściu, zabezpieczyłem logi i teraz zastanawiam się co
> > robić. Pierwsze pytanie to czy warto iść na policję? Drugie pytanie co
> > tak naprawdę mógł ten ktoś zrobić - czy tylko zniszczył dane użytkownika
> > czy też w zasadzie mogę się przymierzać do reinstalacji systemu.
> > Jeśli to coś pomoże to system to: kernel 2.6.15, Apache/1.3.34 (Debian)
> > PHP/5.2.0-8+etch7. Po zbadaniu systemu moim zdaniem nic mu nie jest i
> > tylko ktoś schrzanił pliki użytkownika, ale oczywiście pewności nie ma.
> > Czy jest jakiś sposób sprawdzenia systemu, bo powiem szczerze, że wizja
> > reinstalacji przeraża mnie. :-/
>
> najlepiej przejedź od poczatku do konca tutorial securing debian i
> opczytaj o pakietach z "działu" forensics.
>
> pokręć sie gdzies w tych rejonach.
>
> http://www.debian.org/doc/manuals/securing-debian-howto/ch-after-compromise.en.html
>
> badanie przyczyn i skutków włamania to dość interesująca sprawa -
> jesli tylko uda ci sie ustalić co sie dokladnie stało - podrzuć jakieś
> info na liste.
>
> pozdr.
>
Jak skonczysz narpawiac wszystko, to zainstaluj sobie "logcheck"
Lukasz
--
--
Vim auto completion for python
http://lucasmanual.com/mywiki/FrontPage#head-8ce19b13e89893059e126b719bebe4ee32fe103c
TurboGears from start to finish:
http://www.lucasmanual.com/mywiki/TurboGears
Reply to: