The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка  RSS
"OpenNews: Восстановление сервера после взлома."
Вариант для распечатки Архивированная нить - только для чтения! 
Пред. тема | След. тема 
Форумы Разговоры, обсуждение новостей (Public)
Изначальное сообщение [Проследить за развитием треда]

"OpenNews: Восстановление сервера после взлома."
Сообщение от opennews on 01-Июл-05, 23:21 
Описана (http://dedic.ru/node/65) комплексная методика восстановления сервера после взлома на уровне модулей ядра, нахождение зараженных бинарников и их замена на примере rpm-based Linux.  В ходе статьи дается ряд полезных замечаний, которые могут препятствовать взлому.


Также опубликована небольшая заметка (http://dedic.ru/node/66) про стресс-тестирование сервера, при подозрении на наличии аппаратных проблем.

URL: http://dedic.ru/node/65
Новость: http://www.opennet.dev/opennews/art.shtml?num=5713

Cообщить модератору | Наверх | ^

 Оглавление

Сообщения по теме [Сортировка по времени, UBB]


1. "Восстановление сервера после взлома."
Сообщение от Аноним email on 01-Июл-05, 23:21 
Хех - масса описок:-( Даже в коммандах (chatter!)
Кроме того - ни слова  о восстановлении системы
зараженной lkm. Статья так себе. Почти ни о чем.
Интересно как можно восстановить систему
1. зараженную lkm
2. без reboot
Cообщить модератору | Наверх | ^

2. "Восстановление сервера после взлома."
Сообщение от Lazarenko email on 02-Июл-05, 11:47 
Статья ни о чем, написано не грамотно. Из пустого в порожнее. Такие новости отсекать надо.
Cообщить модератору | Наверх | ^

3. "Восстановление сервера после взлома."
Сообщение от SunTech on 02-Июл-05, 12:11 
Грамотное восстановление -- это изоляция системы от сети, make world, make kernel и апгрейд всех портов, но это все в BSD.
Cообщить модератору | Наверх | ^

4. "Восстановление сервера после взлома."
Сообщение от TaranTuL (??) on 02-Июл-05, 12:25 
Самое грамотное восстановление - бэкап данных и конфигов с последующей полной переустановкой системы (форматирование дисков тоже не повредит)
Cообщить модератору | Наверх | ^

5. "Восстановление сервера после взлома."
Сообщение от Sash email(??) on 02-Июл-05, 13:33 
Интерестно как сделать "грамотное восстановление" на сервере где-то в америке или германии.
Cообщить модератору | Наверх | ^

13. "Восстановление сервера после взлома."
Сообщение от Sergey email(??) on 04-Июл-05, 10:43 
А кто сказал что disaster recovery - вещь халявная? Сажаешь чела со стримером у сервака и по телефону ему диктуешь чего сделать...
В принципе в среде виртуальных серваков это делается без особого напряга, правда для заливки системы из бакапа нужен канал толстый. Все зависит от того, сколько денег теряеться на простое сервиса. Затраты порядка 10% годовой прибыли на нормальную систему бакапа/резервирования на мой взгляд вполне нормальны.
Cообщить модератору | Наверх | ^

6. "Восстановление сервера после взлома."
Сообщение от TaranTuL (??) on 02-Июл-05, 14:21 
есть больше чем 1 способ так сделать.
Cообщить модератору | Наверх | ^

8. "Восстановление сервера после взлома."
Сообщение от eSupport.org.ua email on 02-Июл-05, 16:31 
Отвечаю по порядку. Это не обязательно был LKM. Без ребута не выйдет, так как хаккер мог пересобрать ядро со своими "патчами".

Статья несет в себе общеинформативный характер а не описание команд.

Для FreeBSD это как один из вариантов. Но это было не на машине с FreeBSD.

Бекап дисков и переустановка не подходили, так как на сервере работал ряд сервисов не терпящих даунтаймов. Была бы возможность остановки - просто перенакатил бы систему, загрузившись с LiveCD.

Сервер находился в ДЦ, расположенном имено в Америке :)

И как справедливо замечено - есть масса способов как восстановит систему после взлома. Все зависит от ньюансов, исходя из которых и выбирается оптимальный способ

Успехов

Cообщить модератору | Наверх | ^

9. "Восстановление сервера после взлома."
Сообщение от Аноним email on 02-Июл-05, 19:56 
kakaya raznica gde servak? vsegda est KVM.. esli est' kritichnie servisi to ih nado kuda to vremenno perenosit, i potom polnostiyu stavit' zanovo na compromissed servere.. da i voobshe zapasnoy serv vsegda nado imet' na takie sluchai
Cообщить модератору | Наверх | ^

11. "Восстановление сервера после взлома."
Сообщение от Аноним email on 04-Июл-05, 10:16 
хых:)
все больше склоняюсь к сборке своего live-cd с маунтом /tmp и /var
Cообщить модератору | Наверх | ^

14. "Восстановление сервера после взлома."
Сообщение от toor99 email(??) on 04-Июл-05, 11:34 
Угу.
Примерно так сделано у одного немецкого провайдера хостинга. Только у него загрузка не с CD, а по BOOTP.
Cообщить модератору | Наверх | ^

12. "Восстановление сервера после взлома."
Сообщение от lithium (ok) on 04-Июл-05, 10:20 
вопрос к автору:
>  получил права супер пользователя root, воспользовавшись одной из уязвимостей.
то есть в системе не стояли самые последние версии пакетов или?...
Cообщить модератору | Наверх | ^

15. "Восстановление сервера после взлома."
Сообщение от Chrome email on 04-Июл-05, 14:40 
Чтобы пхп не лазил не понять куда, есть chroot, что сразу снимает проблему
Cообщить модератору | Наверх | ^

16. "Восстановление сервера после взлома."
Сообщение от eSupport.org.ua email on 04-Июл-05, 17:21 
Нет, не стояли, так как владелец пользовался услугами одной компании по администрированию серверов, и надеялся на них. Они же ничего ему не обновляли.

А что бы php не лазил, вообще-то есть штатная опция ;)

Cообщить модератору | Наверх | ^

17. "Восстановление сервера после взлома."
Сообщение от xz email(??) on 05-Июл-05, 10:25 
саф мод ? 80% клиентов у вас покрутят пальчиком у виска и пошлют в биореактор.
Cообщить модератору | Наверх | ^

18. "Восстановление сервера после взлома."
Сообщение от BigBug email on 05-Июл-05, 14:09 
open_basedir ;) safemode это точно годится только для фрихостов.
Cообщить модератору | Наверх | ^

19. "Восстановление сервера после взлома."
Сообщение от BigBug email on 05-Июл-05, 14:10 
и ещё незабыть _выключить_ curl, а то file://....
Cообщить модератору | Наверх | ^

20. "Восстановление сервера после взлома."
Сообщение от Marcus on 05-Июл-05, 15:31 
>open_basedir ;) safemode это точно годится только для фрихостов.

А по мне, наоборот, mod_php с одним open_basedir без ежовых настроек safe_mode только для фрихостинга, который за контент клиента не отвечает и которому пофиг хакнут через одного всех или нет.

Альтернатив не вижу.

php как скрипт, еще больший геморой для пользователей, чем safe_mode.

Патченный апач с чайлдами работающими от рута и захлебывающийся от форков, тоже не подарок.

apache 2.0 с uid per user MPM не выход.

Кроме safe_mode или отдельного apache на пользователя безопасность клиентов хостинга не гарантирована.

Cообщить модератору | Наверх | ^

21. "Восстановление сервера после взлома."
Сообщение от xz email(??) on 05-Июл-05, 16:10 
>apache 2.0 с uid per user MPM не выход.
да и почему же ?
Cообщить модератору | Наверх | ^

22. "Восстановление сервера после взлома."
Сообщение от xz email(??) on 05-Июл-05, 16:11 
да и мона глянуть успешный платный хостинг с саф модом ?
Cообщить модератору | Наверх | ^

23. "Восстановление сервера после взлома."
Сообщение от Аноним on 05-Июл-05, 17:39 
>да и мона глянуть успешный платный хостинг с саф модом ?

MasterHost

Cообщить модератору | Наверх | ^

24. "Восстановление сервера после взлома."
Сообщение от Аноним email on 06-Июл-05, 18:48 
>да и мона глянуть успешный платный хостинг с саф модом ?

мастерхост, валуй, и множество других:)

сафмод + апач перл пхп в песочнице:)
вот грамотный хостинг:)

Cообщить модератору | Наверх | ^

Удалить

Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру