Fórumok
Sziasztok,
Egy CentOS 5.10 32bit szerverem van a Digital Ocean (DO)-n, és feltörték. Most fut rajta egy ilyen trójai: http://tinyurl.com/trojai és DDOS-olna nagy erőkkel. Csak azért nem teszi, mert a DO izolálta a virtuálvasat.
Így, izolált módban csak egy webVNC-s klienssel tudok rá belépni, hálózat nincs, és nem tudok rá vírusirtót telepíteni. Single User Mode sincs, a legtöbb, amit kis ugrálással elérhetek, hogy egy recovery ISO-ról bootoltatom be (továbbra is offline-ban).
A trójai tehát megvan, de ha kill-ezem azonnal újraindul más néven és helyen, root felhasználói jogokkal. Mi a teendő? Köszi előre is.
Hozzászólások
A cím alapján gondoltam tudok segíteni, hogy mit mivel, hogyan kell hatékonyan fertőtleníteni, de meglepődtem nem erre számítottam, ebben a kérdésben sajnos nem tudok segíteni :)
+1
a linux security topikban? :-)
--
"A politikat, gazdasagot es a tobbi felsorolt faszsagot leszarom, amig engem nem erint (nem erint)" (bviktor)
Jogos a témát nem figyeltem :)
Én az utolsó, érvényes mentést tölteném vissza egy tiszta, új környezetre.
Minden más több munkába kerül és az eredményessége is kérdéses.
Üdv,
Marci
Meg ugye azt ki ki kellene találni, hogyan törték fel, mert akkor azt szépen megint fel fogják törni...
Igen.
Üdv,
Marci
cím alapján én is másra számítottam :)
valóban a legutolsó még "tiszta" mentést célszerű visszapakolni
Hadd törjék fel megint :)
Mennyivel biztonságosabb, ha levakarod a szutykot és nem a mentésből állítod helyre?
Mind a két estben a kárelhárítás után meg kell keresni a rést és be kell tömni!
--
Tertilla; Tisztelem a botladozó embert és nem rokonszenvezem a tökéletessel! Hagyd már abba!; DropBox
Arra céloztam, hogy tőlem visszarakhatja akár mentésről, akár "levakarhatja", azonban esetleg nem ártana kivizsgálni, hogy mi a gond.
A többségünk úgy van vele, hogy a fertőzött rendszer már nem megbízható. Az, hogy a víruskereső nem talált semmit, nem jelenti azt, hogy nincs elrejtve egy vagy több bootstrap ami idővel megint ráhúzza a gépre az aktuális vírusmotort. Ilyen esetekben el lehet szórakozni a rootkit hunterek telepítésével és a binárisok/csomagok ellenőrzésével, de ez sem garantál 100%-os biztonságot, és kb. több idő, mint újralökni a rendszert.
Persze ha valami agyonoptimalizált masina, hetvenhétcsillió alkalmazással, miegyébbel, akkor _lehet_ hogy más utat választanék magam is, de az eredeti leírásból nem az derült ki.
Igen, direkt ide írom, nem a fikatopikba.
elorebocsajtom egyetertek azokkal, aki szerint a komprommittalt rendszert ujra kene huzni, mert ize.
viszont hogy konstruktiv legyek, fejbol irtam egy rovid osszefoglalot, aztan a tobbiek majd jol megkritizaljak.
nincs harminchetcsillio registry bejegyzes, ami elindithatja a szutykot, nem remenytelen az ugy.
tehat bebootolsz recovery isorol, ha tudod mit keresel, akkor azt torlod vagy felreteszed kesobbi elemzesre.
/tmp -t, /var/tmp -t kitakaritod, szetnezel a /usr/src, /usr/local/src alatt kerult -e oda valami.
atnezed az init.d alatt a szerviz inditoscripteket, halozaton kivul kikapcsolsz minden szolgaltatast.
igen, ha van mas eleresi mod, akkor az ssh -t is.
atnezed a crontabot es a cron altal inditott egyeb scripteket.
megnezed a /etc/yum.repos.d -t, nem kerult-e oda erdekes repo.
megnezed a /root/.bashrc, /etc/bashrc, /etc/profile -t.
// tetelezzuk fel, hogy az rpm nincs megpancsolva. amugy halottnak a puszi. //
rpm --verify rpm yum
rpm --verify kernel glibc initscripts libselinux-utils bash procps psmisc binutils coreutils coreutils-libs findutils shadow-utils elfutils grep less psacct
rpm --verify openssh openssh-server openssh-clients libssh2
esetleg ha volt integritasellenorzo tripwire vagy hasonlo, akkor hadd szoljon.
reboot, full update. itt mar kezdheted kimazsizni hogyan kaptad be, mert ujra megtortenhet.
-- igen, akkor is, ha visszateszed az utolso 'tiszta' mentest. ami nem is biztos, hogy tiszta, de legalabb tuttira benne van a bug, amivel bejottek. --
johet a szolgaltatasok visszakapcsolasa. eloszor ezek elott is rpm -- verify aztan mehet. -ha nagyon paranoid vagy, akkor figyeld straceval - elsonek az ssh -t.
Köszi hókuszpoke, ez nagyon hasznos. Most már bánom, hogy nem adtam valami normálisabb címet a topiknak, mert így nem fogják a sorstársak megtalálni.
Nem tartozik szorosan a tárgyhoz, de elmondom, hogy a pseudo-d végén lévő POKE volt első számítógépem legmágikusabb parancsa. Ezzel a basic paranccsal lehetett gépi kódú programot írni. Pontosabban csak egy byte-ot szúrt egy memóriahelyre (amiből 65536 volt), aztán a RANDOMIZE USR paranccsal futtathattuk a kódot. Miért pont a randomize-zal, az máig rejtély, de a POKE! Én akkoriban egy szót sem tudtam angolul (na jó egyet: Load "") és a misztikus Poke az nagyon becsípődött. Óriási csalódás volt később megtudni, hogy milyen kevéssé is használt szó, még a váltóbillentyűs társa, a PEEK is sokkal gyakoribb. Egy váltóbillentyűs parancs, könyörgöm!
nincs 'poke' a vegen.
hokuszpók lett volna, csak ahova anno eloszor regisztraltam, nem fogadta el a korabeli hosszu ekezetes betut, ezert az ki, a nick meg igymaradt.
Nem tudom hogy a cron-hoz ezt is beleértetted-e, de akár at queue-ban is elbújhat gonosz dolog.
igy gondoltam :
cron =
/etc/crontab ; /etc/cron.d ; /etc/cron.hourly ; /etc/cron.daily ; /etc/cron.weekly ; /var/spool/cron
viszont igy ezen a borongos hajnalon utolag vegyuk bele az anacron -t is.
rpm --verify anacron
/etc/anacrontab, /var/spool/anacron atnez.
a) backup; reinstall; adatok vissza
b) kezd egy masik kernel-lel, ami lehetoleg grsec-es es masik gepen forditottad, single user mode, minden torol, minden telepit