Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"OpenNews: Восстановление сервера после взлома."	+/–
Сообщение от opennews (?), 01-Июл-05, 23:21
Описана (http://dedic.ru/node/65) комплексная методика восстановления сервера после взлома на уровне модулей ядра, нахождение зараженных бинарников и их замена на примере rpm-based Linux.  В ходе статьи дается ряд полезных замечаний, которые могут препятствовать взлому. Также опубликована небольшая заметка (http://dedic.ru/node/66) про стресс-тестирование сервера, при подозрении на наличии аппаратных проблем. URL: http://dedic.ru/node/65 Новость: https://www.opennet.ru/opennews/art.shtml?num=5713
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по ответам | RSS]

1. Сообщение от Аноним (1), 01-Июл-05, 23:21	+/–
Хех - масса описок:-( Даже в коммандах (chatter!) Кроме того - ни слова  о восстановлении системы зараженной lkm. Статья так себе. Почти ни о чем. Интересно как можно восстановить систему 1. зараженную lkm 2. без reboot
Ответить | Правка | Наверх | Cообщить модератору

2. Сообщение от Lazarenko (?), 02-Июл-05, 11:47	+/–
Статья ни о чем, написано не грамотно. Из пустого в порожнее. Такие новости отсекать надо.
Ответить | Правка | Наверх | Cообщить модератору

3. Сообщение от SunTech (?), 02-Июл-05, 12:11	+/–
Грамотное восстановление -- это изоляция системы от сети, make world, make kernel и апгрейд всех портов, но это все в BSD.
Ответить | Правка | Наверх | Cообщить модератору

4. Сообщение от TaranTuL (??), 02-Июл-05, 12:25	+/–
Самое грамотное восстановление - бэкап данных и конфигов с последующей полной переустановкой системы (форматирование дисков тоже не повредит)
Ответить | Правка | Наверх | Cообщить модератору

5. Сообщение от Sash (??), 02-Июл-05, 13:33	+/–
Интерестно как сделать "грамотное восстановление" на сервере где-то в америке или германии.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #13

6. Сообщение от TaranTuL (??), 02-Июл-05, 14:21	+/–
есть больше чем 1 способ так сделать.
Ответить | Правка | Наверх | Cообщить модератору

8. Сообщение от eSupport.org.ua (?), 02-Июл-05, 16:31	+/–
Отвечаю по порядку. Это не обязательно был LKM. Без ребута не выйдет, так как хаккер мог пересобрать ядро со своими "патчами". Статья несет в себе общеинформативный характер а не описание команд. Для FreeBSD это как один из вариантов. Но это было не на машине с FreeBSD. Бекап дисков и переустановка не подходили, так как на сервере работал ряд сервисов не терпящих даунтаймов. Была бы возможность остановки - просто перенакатил бы систему, загрузившись с LiveCD. Сервер находился в ДЦ, расположенном имено в Америке :) И как справедливо замечено - есть масса способов как восстановит систему после взлома. Все зависит от ньюансов, исходя из которых и выбирается оптимальный способ Успехов
Ответить | Правка | Наверх | Cообщить модератору

9. Сообщение от Аноним (1), 02-Июл-05, 19:56	+/–
kakaya raznica gde servak? vsegda est KVM.. esli est' kritichnie servisi to ih nado kuda to vremenno perenosit, i potom polnostiyu stavit' zanovo na compromissed servere.. da i voobshe zapasnoy serv vsegda nado imet' na takie sluchai
Ответить | Правка | Наверх | Cообщить модератору

11. Сообщение от Аноним (1), 04-Июл-05, 10:16	+/–
хых:) все больше склоняюсь к сборке своего live-cd с маунтом /tmp и /var
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #14

12. Сообщение от lithium (ok), 04-Июл-05, 10:20	+/–
вопрос к автору: >  получил права супер пользователя root, воспользовавшись одной из уязвимостей. то есть в системе не стояли самые последние версии пакетов или?...
Ответить | Правка | Наверх | Cообщить модератору

13. Сообщение от Sergey (??), 04-Июл-05, 10:43	+/–
А кто сказал что disaster recovery - вещь халявная? Сажаешь чела со стримером у сервака и по телефону ему диктуешь чего сделать... В принципе в среде виртуальных серваков это делается без особого напряга, правда для заливки системы из бакапа нужен канал толстый. Все зависит от того, сколько денег теряеться на простое сервиса. Затраты порядка 10% годовой прибыли на нормальную систему бакапа/резервирования на мой взгляд вполне нормальны.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5

14. Сообщение от toor99 (??), 04-Июл-05, 11:34	+/–
Угу. Примерно так сделано у одного немецкого провайдера хостинга. Только у него загрузка не с CD, а по BOOTP.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11

15. Сообщение от Chrome (?), 04-Июл-05, 14:40	+/–
Чтобы пхп не лазил не понять куда, есть chroot, что сразу снимает проблему
Ответить | Правка | Наверх | Cообщить модератору

16. Сообщение от eSupport.org.ua (?), 04-Июл-05, 17:21	+/–
Нет, не стояли, так как владелец пользовался услугами одной компании по администрированию серверов, и надеялся на них. Они же ничего ему не обновляли. А что бы php не лазил, вообще-то есть штатная опция ;)
Ответить | Правка | Наверх | Cообщить модератору

17. Сообщение от xz (??), 05-Июл-05, 10:25	+/–
саф мод ? 80% клиентов у вас покрутят пальчиком у виска и пошлют в биореактор.
Ответить | Правка | Наверх | Cообщить модератору

18. Сообщение от BigBug (?), 05-Июл-05, 14:09	+/–
open_basedir ;) safemode это точно годится только для фрихостов.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #19, #20

19. Сообщение от BigBug (?), 05-Июл-05, 14:10	+/–
и ещё незабыть _выключить_ curl, а то file://....
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18

20. Сообщение от Marcus (?), 05-Июл-05, 15:31	+/–
>open_basedir ;) safemode это точно годится только для фрихостов. А по мне, наоборот, mod_php с одним open_basedir без ежовых настроек safe_mode только для фрихостинга, который за контент клиента не отвечает и которому пофиг хакнут через одного всех или нет. Альтернатив не вижу. php как скрипт, еще больший геморой для пользователей, чем safe_mode. Патченный апач с чайлдами работающими от рута и захлебывающийся от форков, тоже не подарок. apache 2.0 с uid per user MPM не выход. Кроме safe_mode или отдельного apache на пользователя безопасность клиентов хостинга не гарантирована.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18

21. Сообщение от xz (??), 05-Июл-05, 16:10	+/–
>apache 2.0 с uid per user MPM не выход. да и почему же ?
Ответить | Правка | Наверх | Cообщить модератору

22. Сообщение от xz (??), 05-Июл-05, 16:11	+/–
да и мона глянуть успешный платный хостинг с саф модом ?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #23, #24

23. Сообщение от Аноним (-), 05-Июл-05, 17:39	+/–
>да и мона глянуть успешный платный хостинг с саф модом ? MasterHost
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22

24. Сообщение от Аноним (1), 06-Июл-05, 18:48	+/–
>да и мона глянуть успешный платный хостинг с саф модом ? мастерхост, валуй, и множество других:) сафмод + апач перл пхп в песочнице:) вот грамотный хостинг:)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема