Domů > Bezpečnost > Hacklý server – řešení problému I.

Hacklý server – řešení problému I.

Jednou z rychlých kontrol zda není systém napaden používám příkaz:

lsattr /sbin/* /bin/* /lib/* /usr/sbin/* /usr/bin/* | \
grep  -v "\-\-\-\-\-\-\-\-\-\-\-\-\-" | grep -v "consolefonts"

Pokud vám to vrátí nějaký výsledek, např.: –s-i–a—— /usr/bin/top s vysokou pravděpodobností máte hacklý server.
Pokud se zrovna nechcete pustit do přeinstalování celého serveru, můžete postupovat podle následujících kroků, jako příklad uvádím hacklý soubor /usr/bin/top:

První věcí kterou si musíte uvědomit je, že hacker změnil atributy souboru (–s-i–a——) aby jej nebylo možné smazat, nebo přeinstalovat, nebo editovat ani když jste nalogován jako root. Takovýto soubor byl určitě změněn/hacknut. Abyste se o tom přesvědčili použijete příkaz:

rpm -qf /usr/bin/top

To vám ukáže kterého balíčku je soubor součástí, v tomto případě balíček procps.

rpm --verify procps

Pokud vám tento příkaz vrátí nějaký výsledek, soubor byl hacknut.
S největší pravděpodobností vám to ukáže více hacklých souborů.
Bohužel reinstalace balíčku vám nepomůže protože vám systém nedovolí soubor /usr/bin/top přepsat. Odblokujete soubor příkazem:

chattr -sia /usr/bin/top

Jako atribut použijete právě písmenka z výsledku lsattr (–s-i–a—— /usr/bin/top). Tímto způsobem odblokujete všechny hacklé soubory v balíčku procps.

Nyní máte dvě možnosti. Pokud existuje novější balíček než ten který máte nainstalován, jednoduše zadáte:

yum update procps

Update balíčku přepíše všechny hacklé soubory v tomto balíčku novými.
Pokud už máte aktuální verzi balíčku nainstalovanou, stáhnete si stejný balíček např z: rpm.pbone.net a upgradujete příkazem:

rpm -Uhv procps-* --force

Zkontrolujete znovu či je vše ok příkazem:

rpm --verify procps

Nemělo by to vrátit žádný výsledek. Takto postupujete u všech hacklých souborů a všech balíčků.
Toto je ovšem pouze řešení, kdy napravíte hacklé soubory. Nezacelíte však díru v systému, kudy se hacker dostal na váš server. Doporučuji projet systém programem rkhunter, nebo jinými programy. Zkontrolujte zda máte zakázáno spouštění programů v adresáři /tmp, /var/tmp, a zkontrolujte adresář /dev/shm, měl by být prázdný.

admin Bezpečnost

  1. Bez komentářů.
  1. Žádné zpětné odkazy