Взломан ubuntu сервер. Какие действия стоит предпринимать?

Question

[Tremo]

Добрый день!
Недавно обнаружили , что наш ubuntu сервер был взломан.
Администратор сервера не может подключиться к базе mysql используя старую учетную запись. Появился ещё один пользователь в системе с привилегиями администратора.
Вопросов два:
1. В подобных ситуация когда вы обнаруживаете , что вас сервер взломан. На что стоит ещё обратить внимание?
Например, не изменен ли конфиг загрузочника или не переданы права каких то конкретных файлов другому пользователя?
2. Что стоит предпринять чтобы ограничить доступ хакера к нашему серверу?

С нетерпением жду ваших комментариев.

Answer 1

[Andrey Shatokhin]

Обнуляйте все. Ставьте ОС на голые разделы. Восстанавливайте код их репозитория, а базу из бекапов.

Comments

[Tremo]

Андрей, спасибо!
А как бы вы могли прокомментировать первый вопрос?
1. В подобных ситуация когда вы обнаруживаете , что ваш сервер взломан. На что стоит ещё обратить внимание?
Например, не изменен ли конфиг загрузочника или не переданы права каких то конкретных файлов другому пользователя?

[Andrey Shatokhin]

Конечно в идеале нужно сделать архив с системой и потом его поковырять.
Цель минимум при этом - понять как к вам пробрались. Если конечно вы этого не знаете сейчас.
Доп цель - узнать дату проникновения. Возможно что ваши бекапы тоже заражены.
А все что там есть - скомпрометировано и не подлежит использованию.

Пытаться такое лечить на бою - пустая трата времени. Для таких случаев и нужны холодные бекапы в стороне.

[CityCat4]

Например, не изменен ли конфиг загрузочника или не переданы права каких то конкретных файлов другому пользователя?

Зачем? Делать такое имеет смысл только если у Вас стоит задача выяснить каким образом сломали сервер. Если стоит задача его восстановить - анализ взломанной системы Вам ничего не даст - ставите новую систему, разворачиваете бэкапы.

Answer 2

[sim3x]

Если вы никогда не занимались форензикой - самый правильный вариант забрать свои данные и свой код, просмотреть их глазами, очистить от вредоносного кода и перенести на новый сервер

Comments

[Tremo]

Спасибо.
А чтобы вы посоветовали чтобы ограничить доступ хакера к нашему серверу в будущем? Вдруг при анализе я пропущу где-то вшитый вредоносный код.
И хотелось бы для себя взять на вооружение как стоит мониторить свой сервер и на что обращать внимание в первую очередь?

[sim3x]

Tremo, Посоветую нанять хорошего админа

Он вам и настроит мониторинг

Answer 3

[CityCat4]

2. Что стоит предпринять чтобы ограничить доступ хакера к нашему серверу?

Тут, по-моему все уже по двадцать раз повторялось - административный доступ только через ssh и только по ключам. Гуй это зло.

Answer 4

[David]

Помимо ssh могут быть другие уязвимые сервисы - ftp, mysql, munin.
Также уязвимости могут быть в CMS или коде веб-приложения.

Если развернуть уязвимое приложение с нуля, то дыры из него не исчезнут и через определенное время сайт снова будет взломан. Для того, чтобы найти изначальную проблему можешь воспользоваться сканерами уязвимостей.
Metascan, Acunetix, Qualys.