Форум Сайтостроение Администрирование серверов

Что сделать после взлома сервера?

12
G2
На сайте с 25.04.2008
Offline
138
grey2
1366

В логах появились непонятные GET /w00tw00t.at.ISC.SANS.DFind:)

Потом нашёл в /home новую папку tmp в которой какие-то базы. Удалил её.

Траф целый день шёл по максимуму забивая весь канал. Установил lfd - траф пошёл на спад.

Вход был явно через root потому что только он имеет shell доступ.

Что сделать кроме смены паролей на root?

Чужих ключей в /root/.ssh не нашёл так что тут удалять нечего.

Поднимаю тИЦ (/ru/forum/752925) Покупаю QIWI (/ru/forum/684863) Налю $$$ через ePayments Card (https://www.epayments.com/registration?p=ae593ade60)
Evas EvaSystems
На сайте с 31.05.2012
Offline
116
Evas EvaSystems
#1

Я не специалист по взломам, но скажу одну вещь - всегда разрешайте доступ по ssh лишь своим IP. Если же это невозможно по причине

динамического адресса, хотябы убирайте ssh со стандартного порта, устанавливайте сложный пароль, а также ставьте защиту от перебора паролей - fail2ban

А так, как вариант посмотрите историю history, возможно были выкачены какие-то файлы из вне и помещены в директории сайтов...

И да, пароли на FTP, MySQL и почту также следует поменять. Не стоит забывать и про админки сайтов.

Системный администратор Linux. Настройка, сопровождение и оптимизация серверов. Отзывы - searchengines.guru/ru/forum/1017473
Взломали фтп Спорный вопрос изменение порта Безопасность "по всем фронтам":
Andreyka
На сайте с 19.02.2005
Offline
822
Andreyka
#2

Зря удалил

Надо было смотреть с какими правами создали

Не стоит плодить сущности без необходимости
zexis
На сайте с 09.08.2005
Offline
388
zexis
#3

1. разрешить доступ к FTP, SSH только со своих IP

2. просканировать свой сервер с другого сервера с помощью nmap, посмотреть какие порты открыты. Не нужные закрыть.

3. Запретить пользователю WWW писать во все папки, за исключением тех где необходимо для работы сайта.

4. В папке где может писать пользователь WWW запретить выполнять скрипты.

5. Сделать поиск скриптов во всех папках со статикой сайта. Возможно там есть шеллы.

6. Запретить в mysql файловые функции.

Как найти вредоносный код Как защитить свой сервер phpshell и защита от
2
На сайте с 12.03.2013
Offline
1
2501p
#4

На всякий случай можно поставить rkhunter и им проверить.

Den73
На сайте с 26.06.2010
Offline
523
Den73
#5

потер......

pupseg
На сайте с 14.05.2010
Offline
364
pupseg
#6

еще удостоверится, что только рут имеет шелл доступ а не какой-нибудь еще юзер неожиданно.

cat /etc/passwd | grep '/bin/bash'

Качественная помощь в обслуживании серверов. (/ru/forum/661100) Бесплатных консультаций не даю, не помогаю, не обучаю. Минималка от 100$. Как пропатчить KDE-просьба не спрашивать. Есть форумы (http://linux.org.ru) и полезные сайты (http://www.opennet.ru/).
R
На сайте с 03.07.2006
Offline
223
rengen
#7

grey2Просканируйтесь вот этим: http://www.revisium.com/ai/

Чтобы ограничить непонятные запросы:

iptables -I INPUT -p tcp --dport 80 -m string --to 60 --algo bm --string 'GET /w00tw00t' -j DROP

В остальном присоединяюсь к рекомендациям zexis

nginx return 403 Хостинг 1С Битрикс с Непонятные запросы
AboutSEO
На сайте с 18.01.2007
Offline
154
AboutSEO
#8

крон проверь еще

K5
На сайте с 21.07.2010
Offline
209
kgtu5
#9

в .htaccess строчку добавь

RewriteRule /w00tw00t\.at\.ISC\.SANS\.DFind - [F]
аська 45два48499два записки на работе (http://memoryhigh.ru) помогу с сайтом, удалю вирусы, настрою впс -> отзывы ТУТ (/ru/forum/836248) и ТАМ (http://www.maultalk.com/topic140187.html) !!!всегда проверяйте данные людей, которые сами пишут вам в аську или скайп!!!
RiDDi
На сайте с 06.06.2010
Offline
285
RiDDi
#10

после взлома сервера нужно переустанавливать систему

никакие проверки и зачистки не дадут 100% гарантии если злоумышленник получил root..

Вебмастер отдыхает на бережках морей. Заработок в интернете - дело техники.
12

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий