Связаться по Skype: vkarabedyants
Позвонить Написать
+7 (499) 404-28-83

Блог о системном администрировании серверов и сайтов

Установка, настройка программного обеспечения Linux, Windows операционных систем

Вас взломали? Что делать?

Как вы относитесь к взлому… ПК/сервера? А если Вас взломали? Вот сейчас пойдет речь именно об это, а точнее о моих методах проверки и защиты. Данная статья не панацея и в каждом конкретном случае действия будут разные, но вот сам принцип остается один и тот же.

Проверка взлома на Unix системах

Есть подозрения что Вас взломали? Не важно паранойя это или 100% факт нужно немедленно сообщить системному администратору

  1. Логинмся по ssh и смотрим последний IP с которого заходили в последний раз
    1. Так же можно проверить
      1. /var/run/utmp
      2. /var/log/wtmp
      3. /var/log/btmp
  1. Если есть доступ к консоли ­­– отключить сеть.
  2. Сменить пароль на root
  3. Слить себе логи(на потом для изучения). При этом желательно сделать скрин прав и дату модификации файлов
  4. Проверить хеш-суму файлов(/etc/passwd group и т.д). Да, метод не нов, но вполне себя оправдывает, если хранить файл с хэшами в другом месте и не забывать его обновлять. Желательно сделать снимки из  переменной $PATH и двух  папок /boot и /etc. Пример:
    1. md5sum /etc/* > ~/etc.md5
    2. md5sum -c ~/etc.md5
  5. Смотрим на процессы и проверяем подозрительные.
  6. Проверяем bash history

Если все в полном порядке, то можно включать сеть и заниматься дальнейшей проверкой.

Перво-наперво надо проверить все папки .ssh у всех пользователей которые находятся в группе wheel. Если есть что-то подозрительное – делаем копию и сносим. Так же стоит проверить все файлы, у которых стоит флаг на исполнение.

После проверяем .profile и автозагрузки. На последок смотрим cron.

Все, с проверкой вроде разобрались. Вроде ничего не пропустили. Теперь можно для успокоения души воспользоваться rkhunter.

Находим через гугл, качаем, устанавливаем:

Rkhunter в начале проверит все важные системные файлы и затем начнет искать руткиты. После начнет проверку на различные vulnerabilities. В конце программа проверяет версии популярных ПО, таких как OpenSSH, LAMP, и т.п. на предмет последних версий. Результаты своей работы rkhunter выдает в консоль, а также формирует консолидированный лог /var/log/rkhunter.log.

Ну как бы все. Можно еще перегрузить систему и проверить открытые порты с другой машины. Если что-то наши, то смотрим что за демон его использует

Но допустим Вас взломали. Тут нет ничего страшного.

Первым делом выключаем SSH. Если нет доступ к консоли то можно написать скрипт, который будет делать все удаленно, но лучше все же иметь физ-й доступ.

Затем необходимо будет почистить кеш репозиториев

Обновить пакеты

Этим мы гарантируем себе нормальный SSH. В смысле не патченый. Хотя если хеш сошелся, то проблема в другом месте.

Стартуем ssh

Самое главное, если нашли что где-то не совпадает хеш, выкачиваем оригинальную версию(из интернета/резервной копии/соседней машины) и заменяем. Предварительно все же отправляем на анализ файл в virustotal.

Определение взлома на Windows

На данной платформе действия почти такие же как и на *nix

  1. Посмотреть список активных пользователей
  2. Посмотреть недавно установленное ПО
  3. В msconfig необходимо посмотреть и в случае надобности изменить загрузку винды а так же служб и драйверов
  4. Провести аудит пользователей(пристальное внимание уделить администраторам)
  5. В разделе «Система» выбрать «дополнительные параметры системы» выбрать параметры в разделе «Профили пользователей» узнать время изменения пользователя и его папок.
  6. Если установлен ESET SmartSecurity(а он меня не раз выручал) то в разделе сервис выбираем Sysinspector, создаем текущий снимок и сравниваем его с предыдущей версией(в которой уверенны). Внимательно анализируем и делаем выводы.

Далее необходимо поменять пароль на администратора и отключить все остальные локальные учетные записи.

Скачать и установить malwarebytes. Довольно быстрый и надежный антивирус с множеством функций по выявлению «зловредов».

После проверки malwarebytes обновить ESET и пройтись им по системе еще раз.

Надеюсь машина на которой будет осуществляться поиск угроз не файловый сервер, так как надо будет проверять все и с максимальным уровнем поиска.

Удалить все ненужное ПО. Почистить пользователей.

При помощи утилиты ccleaner очистить реестр от ненужного мусора, а он будет в случае очистки от вирусов. Так же следует воспользоваться этой утилитой и в разделе «Очистка», выделить все пункты на всех вкладках, после чего нажать «Запустить очистку».

P.S.: Никто не отменял правило: хочешь спокойной жизни – делай резервные копии. Хотя бы инкрементные и критических к работоспособности сервера/ПК. Для Win машин пользуйтесь точками восстановлеения

Если Взломали Ваш сервер или сайт, обращайтесь, в раздел контакты и мы поможем решить Вашу проблему

Оставить комментарий

Лимит времени истёк. Пожалуйста, перезагрузите CAPTCHA.