meu servidor foi enraizada via exploit h00lyshit, algum bom conselho?

4

Então ontem eu descobri que meu servidor estava enraizado através do exploit h00lyshit. Até agora eu apaguei todos os arquivos que podem estar associados à exploração. Também apaguei todas as chaves ssh em ~/.ssh/authorized_keys . Mudei a senha do root para 25 caracteres aleatórios e alterei as senhas do mysql.

Eu também acho que o invasor era da Itália, e como eu preciso ter acesso apenas do meu país, eu bloqueei todos os intervalos de ip, exceto o meu próprio país, isso ajudará?

Vocês têm algum bom conselho sobre o que devo fazer? Eu pretendo desativar root via ssh (eu deveria ter feito isso muito mais cedo, eu sei :(). E existe uma maneira de verificar se ele pode acessar o meu servidor novamente?

Além disso, nenhum dano foi feito com sorte, ah, estou rodando o Debian Lenny com o kernel 2.6.26 se alguém estiver interessado.

PS: yay minha primeira pergunta: D

    
por Gabriel 11.07.2010 / 00:15

4 respostas

29

Você deve restaurar o servidor a partir de um backup válido. Não há nenhuma maneira real de saber que nenhuma outra porta traseira foi instalada, está lá?

    
por 11.07.2010 / 00:17
3

Eu sempre defendo uma reconstrução completa no caso de um comprometimento conhecido. É o único caminho seguro.

Supondo que você tenha backups, sejam recentes e cubram mais do que apenas os dados do servidor, você tem material para análise forense.

Se você ainda não estiver usando uma ferramenta como o Chef ou o Puppet para fazer reconstruções rápidas em um estado conhecido, comece.

Uma vez que a máquina foi reconstruída, você precisa pensar em vetores de ataque e como mitigá-los. Você mencionou sua configuração ssh - há muitos outros - para uma abordagem centrada no Redhat e paranoica, veja aqui:

link

Para uma abordagem Debian e similar, veja aqui:

Debian org / doc / manuals / securing-debian-howto /

Boa sorte.

    
por 11.07.2010 / 13:42
2

Infelizmente, como ele tinha acesso root, não há como saber realmente o que o hacker fez no sistema. Eles poderiam ter registros modificados para esconder suas trilhas e qualquer outro dano feito. Formatar e reinstalar ou restaurar a partir de backups válidos conhecidos é o único caminho seguro a seguir. Boa sorte.

Na próxima vez, desative o login do root, altere o ssh port e obtenha o iptables imediatamente.

    
por 11.07.2010 / 18:59
1

Pessoalmente, se eu me enraizar, pegue os dados de um backup ideal. Se não, pegue-o no servidor e inicialize-o e nuke-lo. ( link )

    
por 11.07.2010 / 01:34