Взломан ubuntu сервер. Какие действия стоит предпринимать?

Question

Tremo @tremo0880

Inf.Sec

Взломан ubuntu сервер. Какие действия стоит предпринимать?

Добрый день!
Недавно обнаружили , что наш ubuntu сервер был взломан.
Администратор сервера не может подключиться к базе mysql используя старую учетную запись. Появился ещё один пользователь в системе с привилегиями администратора.
Вопросов два:
1. В подобных ситуация когда вы обнаруживаете , что вас сервер взломан. На что стоит ещё обратить внимание?
Например, не изменен ли конфиг загрузочника или не переданы права каких то конкретных файлов другому пользователя?
2. Что стоит предпринять чтобы ограничить доступ хакера к нашему серверу?

С нетерпением жду ваших комментариев.

Вопрос задан более трёх лет назад
1116 просмотров

Комментировать

Подписаться 4 Средний Комментировать

Решения вопроса 1

3 комментария

Tremo @tremo0880 Автор вопроса

Андрей, спасибо!
А как бы вы могли прокомментировать первый вопрос?
1. В подобных ситуация когда вы обнаруживаете , что ваш сервер взломан. На что стоит ещё обратить внимание?
Например, не изменен ли конфиг загрузочника или не переданы права каких то конкретных файлов другому пользователя?

Написано более трёх лет назад
Andrey Shatokhin @Sovigod

Конечно в идеале нужно сделать архив с системой и потом его поковырять.
Цель минимум при этом - понять как к вам пробрались. Если конечно вы этого не знаете сейчас.
Доп цель - узнать дату проникновения. Возможно что ваши бекапы тоже заражены.
А все что там есть - скомпрометировано и не подлежит использованию.

Пытаться такое лечить на бою - пустая трата времени. Для таких случаев и нужны холодные бекапы в стороне.

Написано более трёх лет назад
CityCat4 @CityCat4 Куратор тега Информационная безопасность

Например, не изменен ли конфиг загрузочника или не переданы права каких то конкретных файлов другому пользователя?

Зачем? Делать такое имеет смысл только если у Вас стоит задача выяснить каким образом сломали сервер. Если стоит задача его восстановить - анализ взломанной системы Вам ничего не даст - ставите новую систему, разворачиваете бэкапы.

Написано более трёх лет назад

Пригласить эксперта

Ответы на вопрос 3

2 комментария

Комментировать

Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации

Похожие вопросы

Linux

+2 ещё

Простой
Linux (Ubuntu, Gnome) необходимо небольшое окошко поверх всех остальных окон?
- 1 подписчик
- вчера
- 222 просмотра
2

ответа
Информационная безопасность

+1 ещё

Простой
Как запустить vbs с правами администратора, но без ввода пароля?
- 2 подписчика
- вчера
- 178 просмотров
1

ответ
Ubuntu

+1 ещё

Простой
Как запустить несколько команд в bash вместе, но не дожидаясь ответа?
- 2 подписчика
- вчера
- 211 просмотров
4

ответа
Ubuntu

Простой
Как правильно использовать Docker в Ubuntu?
- 1 подписчик
- вчера
- 100 просмотров
3

ответа
Информационная безопасность

+1 ещё

Средний
Как рассчитать количество информации в двоично-симметричном канале?
- 1 подписчик
- 23 апр.
- 41 просмотр
0

ответов
Информационная безопасность

Простой
Какие сканеры уязвимости посоветуете?
- 1 подписчик
- 22 апр.
- 93 просмотра
1

ответ
Ubuntu

+2 ещё

Средний
Как воcстановить работоспособность VM Proxmox?
- 1 подписчик
- 22 апр.
- 98 просмотров
1

ответ
Информационная безопасность

+1 ещё

Средний
Может ли при подключении внешний жёсткий диск показать иной серийный номер?
- 1 подписчик
- 22 апр.
- 76 просмотров
0

ответов
Информационная безопасность

+1 ещё

Простой
В каких случаях возможно использование несертифицированного Web Application Firewall?
- 2 подписчика
- 22 апр.
- 154 просмотра
2

ответа
Ubuntu

+2 ещё

Простой
Как подключить Smart KBD Trio 500 к Ubuntu Linux (Bluetooth)?
- 2 подписчика
- 21 апр.
- 110 просмотров
1

ответ
Показать ещё Загружается…

DevOps-инженер/SRE-инженер

FS Travel • Москва

от 260 000 ₽

Middle Fullstack Developer (Laravel + Vue.js) (Contractor, Remote)

Hicaliber

от 2 500 до 3 800 $

Системный администратор

FS Travel • Москва

от 170 000 ₽

Лидсканнер\парсер для Telegram по поиску заказов по ключевым словам

25 апр. 2024, в 14:26

6000 руб./за проект

Разработать дизайн продающего лендинга

25 апр. 2024, в 14:21

15000 руб./за проект

Шаблон WP - настройка

25 апр. 2024, в 14:07

20000 руб./за проект

Answer 1 · 2017-11-02 17:44:52

Обнуляйте все. Ставьте ОС на голые разделы. Восстанавливайте код их репозитория, а базу из бекапов.

Answer 2 · 2017-11-02 15:51:12

Если вы никогда не занимались форензикой - самый правильный вариант забрать свои данные и свой код, просмотреть их глазами, очистить от вредоносного кода и перенести на новый сервер

Answer 3 · 2017-11-03 07:00:12

2. Что стоит предпринять чтобы ограничить доступ хакера к нашему серверу?

Тут, по-моему все уже по двадцать раз повторялось - административный доступ только через ssh и только по ключам. Гуй это зло.

Answer 4 · 2019-05-04 12:08:48

Помимо ssh могут быть другие уязвимые сервисы - ftp, mysql, munin.
Также уязвимости могут быть в CMS или коде веб-приложения.

Если развернуть уязвимое приложение с нуля, то дыры из него не исчезнут и через определенное время сайт снова будет взломан. Для того, чтобы найти изначальную проблему можешь воспользоваться сканерами уязвимостей.
Metascan, Acunetix, Qualys.

Взломан ubuntu сервер. Какие действия стоит предпринимать?

Войдите, чтобы написать ответ

Минуточку внимания

Войдите на сайт