Você deve restaurar o servidor a partir de um backup válido. Não há nenhuma maneira real de saber que nenhuma outra porta traseira foi instalada, está lá?
Então ontem eu descobri que meu servidor estava enraizado através do exploit h00lyshit. Até agora eu apaguei todos os arquivos que podem estar associados à exploração. Também apaguei todas as chaves ssh em ~/.ssh/authorized_keys
. Mudei a senha do root para 25 caracteres aleatórios e alterei as senhas do mysql.
Eu também acho que o invasor era da Itália, e como eu preciso ter acesso apenas do meu país, eu bloqueei todos os intervalos de ip, exceto o meu próprio país, isso ajudará?
Vocês têm algum bom conselho sobre o que devo fazer? Eu pretendo desativar root via ssh (eu deveria ter feito isso muito mais cedo, eu sei :(). E existe uma maneira de verificar se ele pode acessar o meu servidor novamente?
Além disso, nenhum dano foi feito com sorte, ah, estou rodando o Debian Lenny com o kernel 2.6.26 se alguém estiver interessado.
PS: yay minha primeira pergunta: D
Eu sempre defendo uma reconstrução completa no caso de um comprometimento conhecido. É o único caminho seguro.
Supondo que você tenha backups, sejam recentes e cubram mais do que apenas os dados do servidor, você tem material para análise forense.
Se você ainda não estiver usando uma ferramenta como o Chef ou o Puppet para fazer reconstruções rápidas em um estado conhecido, comece.
Uma vez que a máquina foi reconstruída, você precisa pensar em vetores de ataque e como mitigá-los. Você mencionou sua configuração ssh - há muitos outros - para uma abordagem centrada no Redhat e paranoica, veja aqui:
Para uma abordagem Debian e similar, veja aqui:
Debian org / doc / manuals / securing-debian-howto /
Boa sorte.
Infelizmente, como ele tinha acesso root, não há como saber realmente o que o hacker fez no sistema. Eles poderiam ter registros modificados para esconder suas trilhas e qualquer outro dano feito. Formatar e reinstalar ou restaurar a partir de backups válidos conhecidos é o único caminho seguro a seguir. Boa sorte.
Na próxima vez, desative o login do root, altere o ssh port e obtenha o iptables imediatamente.
Pessoalmente, se eu me enraizar, pegue os dados de um backup ideal. Se não, pegue-o no servidor e inicialize-o e nuke-lo. ( link )