Re: Włamanie - co dalej?

To: debian-user-polish@lists.debian.org
Subject: Re: Włamanie - co dalej?
From: Jerzy Patraszewski <sm0q@pbw.edu.pl>
Date: Wed, 14 Nov 2007 08:06:48 +0100
Message-id: <[🔎] 20071114080648.45c92bf6@laptop>
In-reply-to: <[🔎] 4735996E.9050909@epf.pl>
References: <[🔎] 4735996E.9050909@epf.pl>

Witam,
obserwuję ten wątek z dość dużym zainteresowaniem i w zasadzie zastanawiam się
dlaczego drodzy koledzy nie odpowiadacie na temat? Przecież pytania są bardzo sprecyzowane.
Nie chcę wywoływać jakiejś "burzy w szklance wody" więc postaram się coś podpowiedzieć
w odniesieniu do tychże pytań.
Ad.1 Jeżeli jakieś poufne dane mogły wpaść w łapki chakiera to na policję jak najbardziej warto
iść, tyle, że im najlepiej byłoby przyprowadzić kolesia ze sobą i najlepiej żeby się przyznał ;)
Dane poufne to oczywiście nie zawartość stopki tylko np. baza danych klientów (np. jeśli pod witrynę
był podpięty jakiś mysql). Poza tym - czy za pomocą twojego serwera mógł być przeprowadzony jakiś DoS,
spamowanie itp. Oczywiście decyzja należy do ciebie, ale jej podjęcie implikuje prawidłowa
analiza pytania 2.
Ad 2.
Zalecane, ale nie zawsze możliwe: zrób kopię 1:1 dysku i analizuj kopię. Nie zawsze możliwe (cluster?).
Idealnie by było, jakbyś miał zapasowy dysk/i ze skonfigurowanym systemem, wtedy przywracasz dane z kopii
przed włamem, blokujesz felerną witrynę i spokojnie zabierasz się za analizę powłamaniową na innej maszynce.
Poza tym metod, tutoriali itd. jest na pęczki - hasło forensics w googlach. Ale w życiu zazwyczaj nie jest
tak pięknie więc:
Przede wszystkim musisz wiedzieć jakie szkody mógł zrobić włamywacz. U nas hostując strony nie
jesteśmy w stanie położyć serwerów tylko dlatego, że na jakiejś wirtualce ktoś zrobił deface'a albo
zincludował sobie jakiś c99shell. Dlatego wdrożyliśmy suexec'a, aby w momencie włamu przez php
napastnik mógł narozrabiać tylko z uprawnieniami user'a którego witrynę przejął. Czyli - jeżeli
masz więcej niż jedną witrynę działającą z uprawnieniami np. www-data:www-data to musisz przeglądnąć
wszystkie pliki o właścicielu/grupie www-data. Jeżeli miałeś osobnego usera tylko na tą witrynę to
prawie (PRAWIE ?) na pewno nie musisz się obawiać jakiś większych strat. Dlaczego? Prawdopodobnie
(przeanalizuj logi apacha) włam przez www (jakiś skrypciarz + google + exploit z milw0rma) z remote
includem, a nie przez ftp (zakładam, że ftp-user nie może logować się shellem, prawda?).
Po drugie - raczej dzisiaj już nie ma takich luk, które pozwoliłyby na łatwą eskalację uprawnień z user'a
na root'a. Oczywiście przeanalizuj sobie czy włamywacz mógł: użyć shell'a, wyjść z chroot'a (jeśli używasz),
miał dostęp do kompilatorów (jeśli masz je zainstalowane) itd - (tripwire/aide lub find/grep/perl are your
friends :) ).
IMHO - nie masz się co przejmować za bardzo (?), jeśli twój serwer był skonfigurowany zgodnie
"z zasadami sztuki". Po prostu zablokuj witrynę, pozmieniaj hasła, uaktualnij engine witryny (lub zostaw to
klientowi) - pamiętaj, o wszystkim co jest hardcodowane w jakiś config.inc.php'ach - hasła mysql'owe,
ftp'owe, pocztowe etc...
Podsumowując:
grsec+pax+chroot+suexec+separacja usług+mod_security+tripwire/aide+... -> to na poziomie instalacji
chrootkit+logcheck+spożytkowanie logów z ww. narzędzi +np.
http://www.debian.org/doc/manuals/securing-debian-howto/ch-after-compromise.en.html (thx Wojtek) ->
to po włamie.
reinstalacja od zera -> absolutna koniczność
BTW - dobrym pomysłem jest dedykowana maszynka na syslog-server.

Jeśli wybierasz się na policję to przygotuj płytkę z logami, uważaj na znaczniki czasu! (use tar dude)

Pozdrawiam
sm0q

Reply to:

Follow-Ups:
- Re: Włamanie - co dalej?
  - From: Marcin Owsiany <porridge@debian.org>
- Re: Włamanie - co dalej?
  - From: "Wojciech Ziniewicz" <wojciech.ziniewicz@gmail.com>

References:
- Włamanie - co dalej?
  - From: Mikołaj Menke <clauz@epf.pl>

Prev by Date: Pomoc w tlumaczeniu
Next by Date: Re: [debianPL] Czy mozna dodac to do konfiguracji listy
Previous by thread: Re: Włamanie - co dalej?
Next by thread: Re: Włamanie - co dalej?
Index(es):
- Date
- Thread