Como obter 2 servidores sob controle (Red Hat Linux)

2

Eu tenho um tipo de situação aqui.

Precisamos obter dois servidores sob nosso controle. As coisas que sabemos até agora:

  • ambos estão rodando linux, pelo menos um está rodando Red Hat
  • eles são usados como servidor de arquivos, servidor mysql e provavelmente há um servidor sip
  • eles estão executando o apache e o phpMyAdmin 3.4.1
  • Diz-se que eles estão configurados para espelhar seus dados a cada 30 minutos
  • o administrador anterior disse que é impossível invadir e ainda ter um sistema em funcionamento.
  • não temos senhas de root ou contas nesses sistemas

O administrador anterior foi demitido e tem que ser considerado mau. Ele poderia ter acesso remoto.

Um dos servidores não está mais funcionando corretamente, e o antigo administrador disse que, se um dos servidores estivesse desligado, todo o sistema quebraria.

Não sabemos como ele é bom de verdade.

Nosso plano atual: - desligue os servidores de qualquer maneira e faça uma imagem completa. - colocar um firewall adicional na rede - iniciar um servidor novamente - configure o firewall para que apenas o tráfego do sip seja permitido

Esperamos, portanto, obter um sistema em funcionamento, em que o administrador antigo não consiga se conectar remotamente.

Em seguida, tente entrar no outro servidor para obter a configuração e realmente ganhe controle.

Tem alguma ideia adicional? Você vê pontos fracos?

Qualquer pensamento é bem-vindo.

Ingo

--- Atualizar ---

Nem colocar um firewall no sistema nem fazer com que uma imagem dela fosse aceita.

Eles tentaram nos forçar a tentar quebrar a senha sem mais precauções, então no final nós fomos embora.

A resposta aceita é o que nós teríamos feito.

    
por ingo 31.07.2015 / 15:23

4 respostas

3

É assim que eu faria:

  • Primeiro, eu consideraria o sistema comprometido. Isso significa que eu não confiaria nos dados, nas configurações, etc., a menos que seja cuidadosamente verificado.
  • Eu prepararia um CD ao vivo e um disco rígido vazio (pode ser um armazenamento de rede não comprometido)
  • Eu reinicializaria o sistema (não reinicializaria o sistema, mas reinicializaria o botão) e faria uma imagem do disco. Essa imagem deve ser feita somente para leitura ou você deve criar um backup dela. A imagem pode ser usada tanto para análise forense quanto para recuperação de dados.
  • Eu usaria uma VM confiável limpa na qual montaria as partições e examinaria com antivírus todos os volumes usados para compartilhamento de arquivos.
  • Mesmo se você tiver backups, não confie nos dados.
  • Instale os serviços em novos servidores limpos e mova os dados enquanto os analisa
por 31.07.2015 / 17:12
3

Como você vai desligar os servidores, inicialize um deles com um CD / USB ativo, monte o sistema de arquivos raiz e chroot nele.

Em seguida, altere a senha do root e verifique se há outros usuários presentes e altere sua senha também.

Depois, você pode reinicializá-lo, conectar-se à rede e seguir o mesmo procedimento com o outro servidor.

    
por 31.07.2015 / 15:32
2

Não é necessário inicializar com um live cd, como sugerido por @Mr Shunz, já que o sistema está funcionando. Basta reiniciar o servidor, no gerenciador de inicialização, selecione para editar os parâmetros de inicialização e adicionar um 1 ao final. O sistema inicializará no nível de execução 1 sem rede e o usuário root já efetuou login. Eventualmente, desabilite os programas de gerenciamento do sistema de iniciar automaticamente na inicialização, para que coisas como fantoches ou chef não imponham usuários ou senhas específicos no sistema. Altere a senha do root, reinicie e faça sua investigação sobre o que está no sistema usando o usuário root.

    
por 31.07.2015 / 15:41
1

Esta resposta vai depender do uso do Grub e da reinicialização do servidor, mas como eles são servidores Redhat, o Grub está praticamente garantido, e é uma maneira segura de recuperar o acesso sem inicializar para outro meio. Aqui vai:

  1. Iniciar uma reinicialização. Quando a tela do gerenciador de inicialização aparecer, envie um spam à tecla Escape para parar de inicializar automaticamente para o kernel de defeito.

  2. Usando as teclas de seta, realce o kernel que você deseja inicializar e pressione "e" para editar a linha.

  3. Anexe o seguinte à linha do kernel: "init = / bin / bash"

  4. Pressione a tecla "enter" para aceitar as alterações.

  5. Verifique se a linha que você editou está destacada e pressione a tecla "b" para inicializar a linha do kernel editada.

  6. Isso será inicializado em um shell como root antes do restante do SO ser carregado; o sistema de arquivos será montado como somente leitura.

  7. Agora você pode usar o "root passwd" para alterar a senha do root. Se você achar que precisa gravar em um arquivo enquanto estiver nesse estado, poderá executar "mount -o remount, rw /" para remontar o sistema de arquivos como leitura / gravação.

  8. Se você tiver remontado o sistema de arquivos como leitura / gravação, use "mount -o remount, ro /" para remontar como somente leitura. Pare o sistema usando o desligamento -H e, em seguida, reinicie fisicamente o servidor.

por 31.07.2015 / 17:01