Задать вопрос

Как исправить взлом сервера?

Добрый день, подскажите пожалуйста, есть сервер на ubuntu 14.04 который уже несколько раз за месяц получает азузы и его отключают. Стоит iptable (белый список) и fail2ban. В папке tmp появляются bash файлы которые делают брутфорс других серверов по ssh. Что можно сделать, что бы исправить эту ситуацию?
  • Вопрос задан
  • 660 просмотров
Подписаться 2 Оценить Комментировать
Пригласить эксперта
Ответы на вопрос 6
  1. Просматриваете логи и находите, через что вломились на сервер - ssh, ftp, http или что у вас там ещё крутиться
  2. Закрываете дыры


Может как-то поможет статья https://habrahabr.ru/company/sprinthost/blog/125839/
Ответ написан
Комментировать
Frankenstine
@Frankenstine
Сисадмин
Любой взлом устраняется в три этапа:
1) Отключение поражённого компьютера.
2) Загрузка с надёжного носителя (флешки) и изучение логов, поиск следов взлома, выяснение способа поражения и выявление уязвимости, позволившей атаку, а так же внесённых взломщиком изменений.
3) Переустановка всей системы, опционально - восстановление контента из бэкапа, закрытие обнаруженных дыр (например, обновление плагинов к wordpress если у вас его движок), смена всех паролей, запуск сервера.
Без переустановки можно обойтись, если вы уверены что взломщик не мог получить рут-права и установить руткиты. Но лучше сразу перестраховаться, чем обнаружить через два дня что всё было напрасно.
Ответ написан
Комментировать
jamakasi666
@jamakasi666 Куратор тега Linux
Просто IT'шник.
Сильно вероятно что "ломают" через http т.к. не настроены права нормально на доступы или используете свои самописные странички.
Ответ написан
@vertas52
В Вашем случае лучший вариант: заплатить специалистам.
Ответ написан
Комментировать
если заходите на сервер со статических айпи, ограничите доступ до ssh только с этих айпи. закройте доступ до ssh для рута. Помониторьте top на наличие подозрительных файлов (у меня появился fshquyrwb что то типа этого).
Ответ написан
Комментировать
daager
@daager
У нас когда был взлом. Я в nginx стал в лог писать почти всю важную инфу о пользователе. В итоге в логах увидел, что "админ"(по куке) заливает шелл через дырку в адинке.
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы