Задать вопрос
@3ton

Что делать если на WEB сервере скомпрометирован root доступ?

Так уж волей случая получилось что начальство дало root пароль стороннему человеку.
С компанией у него нет никаких юридических обязательств.
На сервере есть приватная инфа третьих лиц.
Нет никаких намеков на не добропорядочность данного лица, но если отталкиваться от важности сохранения конфиденциальности данных - какие действия можно предпринять чтоб обезопасить себя от последствий данного посещения сервера???

На сервере есть виртуальные машины, есть много веб сервисов которые содержат десятки тысяч файлов на разных языках программирования, поэтому советом просто переустановить систему ничего не решится. Кроме того виртуалки имеют и свой прямой доступ извне.
  • Вопрос задан
  • 479 просмотров
Подписаться 1 Оценить Комментировать
Пригласить эксперта
Ответы на вопрос 4
@feanor7
Системный администратор
Все зависит от того для чего были выданы права, на какой срок и какие работы проводились.
Смените пароль для начала.
Можно предположить что сторонний человек мог что-то установить, сделать, логи вам подскажут что делалось в системе, если конечно их не потерли)))
Если начальство будет спрашивать, просто укажите на то что: 1.не вы передавали пароль 2.не было задачи протоколировать действия
Ну и избегайте подобного в дальнейшем.
Ответ написан
vvpoloskin
@vvpoloskin
Инженер связи
Вряд ли туда вкорячили какой-то руткит, для вас повод задуматься о расширенном логировании действий в cli, а также мониторинга всех попыток входа в систему.
Ответ написан
Комментировать
@pfg21
ex-турист
На будущее настроить бекап, хотя бы системных файлов, настроек и т.д. чтобы было с чем сравнивать. что изменилось, что нового внеслось.
бекап **пу прикрывает во многих случаях.

в твоем случае попробовать посмтореть какие файлы во всей системе менялись за последние **цать дней, прошедших с момента компрометирования рута. решениение не полноценное (все файлы системы я так понял валидировать вручную нереально), работа будет дебильней некуда, но хотя бы попытка.

Зато теперь есть всеуниверсальная отмазка.
Ответ написан
Комментировать
CityCat4
@CityCat4
//COPY01 EXEC PGM=IEBGENER
Первым делом обязательно сменить пароль.
Потом изучить логи - если они есть :)
Потом оценить изменения в файлах за интервал времени между утечкой пароля и его сменой.
Если у виртуалок свои руты, то они скорее всего не скомпроментированы - надо очень здорово извернуться, чтобы изменить что-то в образе диска машины из хостовой машины.
А вот хостовую машину все равно придется переставлять. Хотя утечка, если она была - она уже произошла и далее человеческий фактор - что это был за человек, что были за данные, насколько ему было интересно их тырить и что он мог утянуть в первую очередь.
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы