Вопросы Теги

мой сервер был базирован через использование h00lyshit, хороший совет?

Не ответ Вы хотите, но я назвал бы поставщика ответственным за аппаратные средства/гарантию - это должно быть на "легко" читаемой этикетке на самом сервере ;) (иногда, люди помещают их сверху стоечных серверов и затем продвигают другой сервер в тот слот, скрывая этикетку> <),

Это могло быть что-либо, необходимо, по крайней мере, узнать делание и рассматриваемую модель....

4
задан 11 July 2010 в 01:28
4 ответа

Необходимо восстановить сервер от известного хорошего резервного копирования. Нет никакого реального способа знать, что никакие другие черные ходы не были установлены, там?

29
ответ дан 3 December 2019 в 02:17

Я всегда защищал бы полное, восстанавливают в случае известного компромисса. Это - единственный безопасный путь.

Принятие Вас имеет резервные копии, и они являются недавними, и они покрывают больше, чем просто данные по серверу, у Вас есть материал для судебной экспертизы.

Если Вы уже не используете инструмент, такой как Шеф-повар, или Марионетка для создания быстро восстанавливает к известному состоянию, то начните.

После того как машина была восстановлена, необходимо думать о векторах атаки и как смягчить против них. Вы упомянули свою конфигурацию ssh - существуют многие другие - для центрального Redhat, и параноидального подхода, посмотрите здесь:

http://www.nsa.gov/ia/_files/factsheets/rhel5-pamphlet-i731.pdf

Для Debian и аналогичного подхода, посмотрите здесь:

Debian отмечают точкой org/doc/manuals/securing-debian-howto/

Удачи.

3
ответ дан 3 December 2019 в 02:17

К сожалению, так как у него был корневой доступ нет никакого способа действительно знать то, что хакер сделал к системе. Они, возможно, изменили журналы для сокрытия их дорожек и любого другого нанесенного ущерба. Формат и переустанавливает или восстанавливает от известных хороших резервных копий, единственный безопасный способ пойти.Удачи.

Следующий раз отключает корневой вход в систему, изменяет ssh порт и получает iptables, идущий сразу же.

2
ответ дан 3 December 2019 в 02:17
  • 1
    я добавил бы AllowUser в конфигурации SSH к укреплению его. Изменение, которому также определенно помогает порт, хотя, как указано, это не может быть единственный слой. Я предложил бы изменить его на что-то выше 10000. По умолчанию большинство сканеров портов только сканирует общие порты, таким образом, это отфильтровывает много потенциальных взломщиков. Очевидно, это не сделает ничего для остановки преданного взломщика, потому что они могут найти открытый порт на полном сканировании, но дело в том, что это - добавленный слой защиты. –  Paul Kroon 11 July 2010 в 20:37

Лично, если я базирован, захватите данные из резервного копирования идеально. Если не захватывают его с сервера и начальной загрузки и уничтожают его. (http://www.dban.org/)

1
ответ дан 3 December 2019 в 02:17

Теги

Похожие вопросы