tremo0880
@tremo0880
Inf.Sec

Взломан ubuntu сервер. Какие действия стоит предпринимать?

Добрый день!
Недавно обнаружили , что наш ubuntu сервер был взломан.
Администратор сервера не может подключиться к базе mysql используя старую учетную запись. Появился ещё один пользователь в системе с привилегиями администратора.
Вопросов два:
1. В подобных ситуация когда вы обнаруживаете , что вас сервер взломан. На что стоит ещё обратить внимание?
Например, не изменен ли конфиг загрузочника или не переданы права каких то конкретных файлов другому пользователя?
2. Что стоит предпринять чтобы ограничить доступ хакера к нашему серверу?

С нетерпением жду ваших комментариев.
  • Вопрос задан
  • 1129 просмотров
Решения вопроса 1
Обнуляйте все. Ставьте ОС на голые разделы. Восстанавливайте код их репозитория, а базу из бекапов.
Ответ написан
Пригласить эксперта
Ответы на вопрос 3
sim3x
@sim3x
Если вы никогда не занимались форензикой - самый правильный вариант забрать свои данные и свой код, просмотреть их глазами, очистить от вредоносного кода и перенести на новый сервер
Ответ написан
CityCat4
@CityCat4 Куратор тега Информационная безопасность
//COPY01 EXEC PGM=IEBGENER
2. Что стоит предпринять чтобы ограничить доступ хакера к нашему серверу?

Тут, по-моему все уже по двадцать раз повторялось - административный доступ только через ssh и только по ключам. Гуй это зло.
Ответ написан
Комментировать
@dordyan
Помимо ssh могут быть другие уязвимые сервисы - ftp, mysql, munin.
Также уязвимости могут быть в CMS или коде веб-приложения.

Если развернуть уязвимое приложение с нуля, то дыры из него не исчезнут и через определенное время сайт снова будет взломан. Для того, чтобы найти изначальную проблему можешь воспользоваться сканерами уязвимостей.
Metascan, Acunetix, Qualys.
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы