Rate this post

Как вы относитесь к взлому… ПК/сервера? А если Вас взломали? Вот сейчас пойдет речь именно об это, а точнее о моих методах проверки и защиты. Данная статья не панацея и в каждом конкретном случае действия будут разные, но вот сам принцип остается один и тот же.n

Проверка взлома на Unix системах

Есть подозрения что Вас взломали? Не важно паранойя это или 100% факт нужно немедленно сообщить системному администраторуn

    n

  1. Логинмся по ssh и смотрим последний IP с которого заходили в последний разn
      n

    1. Так же можно проверитьn
        n

      1. /var/run/utmp
      2. /var/log/wtmp
      3. /var/log/btmp

      n

    n

n

    n

  1. Если есть доступ к консоли ­­– отключить сеть.
  2. Сменить пароль на root
  3. Слить себе логи(на потом для изучения). При этом желательно сделать скрин прав и дату модификации файлов
  4. Проверить хеш-суму файлов(/etc/passwd group и т.д). Да, метод не нов, но вполне себя оправдывает, если хранить файл с хэшами в другом месте и не забывать его обновлять. Желательно сделать снимки из  переменной $PATH и двух  папок /boot и /etc. Пример:n
      n

    1. md5sum /etc/* > ~/etc.md5
    2. md5sum -c ~/etc.md5

    n

  5. Смотрим на процессы и проверяем подозрительные.
  6. Проверяем bash history

nЕсли все в полном порядке, то можно включать сеть и заниматься дальнейшей проверкой.nnПерво-наперво надо проверить все папки .ssh у всех пользователей которые находятся в группе wheel. Если есть что-то подозрительное – делаем копию и сносим. Так же стоит проверить все файлы, у которых стоит флаг на исполнение.nnПосле проверяем .profile и автозагрузки. На последок смотрим cron.nnВсе, с проверкой вроде разобрались. Вроде ничего не пропустили. Теперь можно для успокоения души воспользоваться rkhunter.nnНаходим через гугл, качаем, устанавливаем:

nnRkhunter в начале проверит все важные системные файлы и затем начнет искать руткиты. После начнет проверку на различные vulnerabilities. В конце программа проверяет версии популярных ПО, таких как OpenSSH, LAMP, и т.п. на предмет последних версий. Результаты своей работы rkhunter выдает в консоль, а также формирует консолидированный лог /var/log/rkhunter.log.nnНу как бы все. Можно еще перегрузить систему и проверить открытые порты с другой машины. Если что-то наши, то смотрим что за демон его используетn

nmap -P0 -p 1-65505 ххх.ххх.ххх.ххх – выдассписок открытых портов
netstat -anp | grep LISTEN | grep номер порта

Но допустим Вас взломали. Тут нет ничего страшного.nnПервым делом выключаем SSH. Если нет доступ к консоли то можно написать скрипт, который будет делать все удаленно, но лучше все же иметь физ-й доступ.n

service sshd stop && chkconfig sshd offnnyum remove openssh-server или yum erase openssh-server

Затем необходимо будет почистить кеш репозиториевn

yum clean all

Обновить пакетыn

yum updatenyum install -y openssh-server

Этим мы гарантируем себе нормальный SSH. В смысле не патченый. Хотя если хеш сошелся, то проблема в другом месте.nnСтартуем sshnnСамое главное, если нашли что где-то не совпадает хеш, выкачиваем оригинальную версию(из интернета/резервной копии/соседней машины) и заменяем. Предварительно все же отправляем на анализ файл в virustotal.n

Определение взлома на Windows

На данной платформе действия почти такие же как и на *nixn

    n

  1. Посмотреть список активных пользователей
  2. Посмотреть недавно установленное ПО
  3. В msconfig необходимо посмотреть и в случае надобности изменить загрузку винды а так же служб и драйверов
  4. Провести аудит пользователей(пристальное внимание уделить администраторам)
  5. В разделе «Система» выбрать «дополнительные параметры системы» выбрать параметры в разделе «Профили пользователей» узнать время изменения пользователя и его папок.
  6. Если установлен ESET SmartSecurity(а он меня не раз выручал) то в разделе сервис выбираем Sysinspector, создаем текущий снимок и сравниваем его с предыдущей версией(в которой уверенны). Внимательно анализируем и делаем выводы.

nДалее необходимо поменять пароль на администратора и отключить все остальные локальные учетные записи.nnСкачать и установить malwarebytes. Довольно быстрый и надежный антивирус с множеством функций по выявлению «зловредов».nnПосле проверки malwarebytes обновить ESET и пройтись им по системе еще раз.nnНадеюсь машина на которой будет осуществляться поиск угроз не файловый сервер, так как надо будет проверять все и с максимальным уровнем поиска.nnУдалить все ненужное ПО. Почистить пользователей.nnПри помощи утилиты ccleaner очистить реестр от ненужного мусора, а он будет в случае очистки от вирусов. Так же следует воспользоваться этой утилитой и в разделе «Очистка», выделить все пункты на всех вкладках, после чего нажать «Запустить очистку».nnP.S.: Никто не отменял правило: хочешь спокойной жизни – делай резервные копии. Хотя бы инкрементные и критических к работоспособности сервера/ПК. Для Win машин пользуйтесь точками восстановлеенияn

Если Взломали Ваш сервер или сайт, обращайтесь, в раздел контакты и мы поможем решить Вашу проблему

Похожие статьи:

  1. А если взломали ? Что необходимо сделать первым делом ?
  2. Как обновить OpenSSH 7.0 до 7.2 на OpenBSD
  3. Обновление OpenSSH на CentOS 7.x
  4. Парсят сайт, что делать?