Włamanie Do Systemu

[adams24]

Witam. Chciałem zapytać jakie sa oznaki właamania do systemu ??? Cos mis ie nie podoba bo nagle w moim systemie pojawił się nowy uzytkownik. Serwer jest dotepny w internecie i wchodzi w gre ewentualnie właamnie zdalne. :|. Na co mam patrzeć i czego szuakć zeby znaleźć ślady kto i kiedy ew. zakładał użytkownika itp itd. W logach w /var/log/secure nie ma nic ciekawego.

 

 

[@Sorror]

A jaką nazwę ma ten użytkownik? I jakiż to serwer działa w systemie?

[adams24]

Otóż serwer ten jest od czasu do czasu dostępny w internecie a dostepne sa takie usługi jak: ssh, www, webmin, czy zdalny pulit VNC. Pisze od czasu do czasu bo serwer jest za firrewalem (IPCOP) i od czasu do czasu udostepniaam np zdalny pulpit zeby poadministrować, ale z (_regóły_ → reguły) ORT porty na tym serwerze sa dsotepne tylko z iseci lokalnej.

 

Nagle pojawił sie jakis user "maciek" :| Zdziwiłem sie totalnie. (Co prawda nie miał dostepnej powłoki logowania "sbin/nologin"

[matlas]

poszukaj w logach kiedy bylo 1 logowanie do tego macka

[zybex_pl]

jeśli mogę zasugerować -

do zdalnej administracji lepsze jest ssh i logowanie na zwykłym uzytkowniku

sprawdź pliki /var/log/secure* - zobaczysz kto i co,

wykonaj userdel maciek

zmień hasło root-a

 

[Arabski]

Jeżeli ktoś nieuprawniony uzyskał dostęp do systemu, to usunięcie konta i zmiana hasła może nie wystarczyć. Komendy last i lastlog pokażą kto się ostatnio logował. To, że w passwd widnieje /sbin/nologin jeszcze o niczym nie świadczy. Jaką masz gwarancję, że ten ktoś nie zrobił cp login nologin? Na moim routerze sprawdzam codziennie pakiety w systemie:

 

[root@red-hat-router root]# cat /etc/cron.daily/check_system
#!/bin/bash

time=`date +%j_%y-%H_%M_%S`
dir="/root/sys-check/"$time"-system_check"
ext=".log"
name=$dir$ext

rpm -Va | sort > $name

 

i w razie podejrzeń (często się zdarza, że po wejściu zostają podmienione programy w systemie!) zawsze mogę sprawdzić wstecz...

 

W Twoim przypadku? Należy upewnić się, czy rzeczywiście system został przejęty, i jeżeli tak to tylko reinstalacja od zera i odtworzenie danych z backupu (masz? prawda?).

 

Nie wolno ufać systemowi, który został spenetrowany!

[adams24]

Tak backup mam, krytyczne dane dla firmy muszą mieć kopię zapasową.

 

Tak poprzeglądałem i sie wydaje ze niby nie ma nic nadzwyczajnego w systemie.

 

Hasła roota i admina pozmieniane. Zastosowałem silen hasła .

 

 

Tak sie zastanawaiam człowiecz czasami tworzy jakeigos usera do róznych testów, moze sam załozyłem tego usera

[botul]

Tak backup mam, krytyczne dane dla firmy muszą mieć kopię zapasową.

 

Tak poprzeglądałem i sie wydaje ze niby nie ma nic nadzwyczajnego w systemie.

 

Hasła roota i admina pozmieniane. Zastosowałem silen hasła .

 

 

Tak sie zastanawaiam człowiecz czasami tworzy jakeigos usera do róznych testów, moze sam załozyłem tego usera

 

Zmiana haseł po włamie to za mało... Tutaj masz całą procedurę po kompromitacji systemu:

http://tnij.org/compromised

 

W zależności od złożoności systemu, ja bym skłaniał się ku reinstalacji, aktualizacji i poprawy zabezpieczeń.

No ale jesli sam nie pamiętasz czy dodałeś usera to już niedobrze... Wiadomo - shit happens, ale o takich rzeczach to admin musi wiedzieć.

 

[MonteChristo]

odpiac od netu, wyciagnac kable sieciowe.

 

skopiowac logi na plytke.

 

przejrzeć logi, przeszukać wg. jakiegos klucza(nowych userow, zmian w plikach itp).

 

rhhunter -> sprawdzic czy nie ma rootkitow. (oczywiscie z updatowac baze rhuntera).

 

Sprawdzic porty uslug (czy przypadkiem nie pozmieniane)

 

sprawdzic jakie procesy dzialaja a jakie powinny dzialac.

 

Trzymac fason .