Задать вопрос
driversti
@driversti
Кратко о себе

Взломали сервер. Как выяснить урон?

Здравствуйте. Обнаружил, что 2 марта у меня упал Postfix. Когда заходил крайний раз не помню. Точно больше недели назад. Из логов Postfix выяснил, что перед падением был коннект из Китая (183.164.139.154). С помощью netstat увидел, что в настоящее время есть два коннекта: он и я. Его кикнул. Как узнать нанесённый урон и каким образом он использовал мой сервер?
Сейчас предпринимаю попытки защитить сервер с помощью вот этой статьи.
Да, после дисконнекта Postfix заработал

P.S. Как выяснилось, Хром поставил я, просто забыл об этом. А Постфикс упал из-за потерявшихся пробелов в конфиге (ума не приложу как это произошло). Ну а кетаец... жаль, не заскринил к какому порту он подконектился. В любом случае, буду создавать новый сервер
  • Вопрос задан
  • 1329 просмотров
Подписаться 3 Оценить 4 комментария
Решения вопроса 1
roswell
@roswell
и швец, и жнец, и на дуде игрец
Бекап логов для их последующего анализа и полная переустановка.
Ответ написан
Пригласить эксперта
Ответы на вопрос 5
@bychok300
Вы можете только собрать информацию о том, какие команды выполнялись, посмотреть нет ли на сервере подозрительных файлов или процессов, посмотреть нет ли каких-то директорий и файлов с изменненными правами. Посмотреть сетевую активность, бы ли ли аномальные нагрузки. По сути, на основании этого вы можете сделать выводы о действиях нарушителя на вашем сервере иприкинуть какой урон нанесен.
Ответ написан
@Nc_Soft
Лучше всего пересобрать всё заново, чтобы исключить пасхалки. И надо найти дыру, иначе это повторится.
Ответ написан
Зачем взломщику ронять ваш постфикс? Скорей всего, речь идет не о взломе, а о некорректной настройке самого постфикса, например как открытого релея, либо один или несколько из почтовых эккаунтов стали известны спамерам и ваш сервер использовался для массовой рассылки и перестал отвечать из-за исчерпания ресурсов.
Проверьте по логам как именно производилась рассылка, если с авторизацией - сбросьте пароли скомпрометированным эккаунтам. Если без - настройте сервер так, чтобы исключить несанкционированный релеинг и установите рейтлимиты по IP-адресам и пользователям, чтобы даже при компрометации учетной записи ваш сервер не ложился по ресурсам. Если через веб-скрипты на том же сервере - вот тогда ищите или проблемные скрипты или способ, которым был скомпрометирован веб сервер, если вам веб-шел залили.
Ответ написан
opium
@opium
Просто люблю качественно работать
Есть стандартное правило любой скомпроментированный сервер должен переехать на свежую инсталляцию дабы избежать хитрого бек дора
Ответ написан
CityCat4
@CityCat4
//COPY01 EXEC PGM=IEBGENER
Слить все нужное-ценное, сервак умножить на нуль с форматированием дисков ( а если вируталка просто диск грохнуть) и поставить заново. И отнестись повнимательнее к настройкам подключения к сервисам.
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы