14.13. Обнаружен взлом
14.13. Обнаружен взлом
Если вы обнаружили, что в системе есть посторонний, а сервер содержит секретную информацию, потеря которой может оказаться фатальной для вас, я рекомендую остановить сетевой интерфейс, чтобы компьютер отключился от сети, и начать анализ системных журналов. Лучше пусть сервер будет полчаса недоступным, чем вы полностью потеряете над ним контроль.
Для анализа первым делом необходимо запустить проверку конфигурации системы (об этом мы говорили в разд. 12.3). Необходимо сравнить отчеты программ проверки до и после взлома. Это поможет вам понять, что успел сделать хакер. Если в вашей системе оказался rootkit, то его нужно удалить.
Следующим этапом необходимо проверить контрольные суммы всех основных файлов, особенно конфигурационных из каталога /etc и исполняемых из каталога /bin. Злоумышленник может изменить эти файлы, чтобы получить потайной вход и оставаться в системе незамеченным. Определив отклонения, постарайтесь вернуть все в исходное состояние.
Далее, анализируем целостность пакетов. Сначала выполняем команду:
rpm -qa | grep kernel
Таким образом можно проверить установленные пакеты ядра, а потом обследовать их. Если вы увидели изменения, то добейтесь возврата в исходное состояние.
После этого необходимо проверить обновления для ОС Linux и используемых вами служб. В большинстве случаев взлом происходит именно из-за устаревшего программного обеспечения. Обновите все программы. Не забудьте и Web-сценарии, которые используются на Web-сервере, потому что они также нередко становятся причиной взлома.
Если у вас Web-сервер, то я не спешил бы возобновлять его работу, потому что это может быть опасно. Возможно, что ошибка еще не исправлена, если у вас много сценариев, написанных самостоятельно. Если ваш компьютер выполняет функции почтового сервера или решает любые другие задачи, то можно возобновить работу, но продолжать тщательное наблюдение за системой.
И только на последнем этапе я рекомендую начать анализ журналов и выявление действий хакера, которые привели к взлому, параллельно наблюдая за работающей системой. Если злоумышленник снова попытается проникнуть, то вы должны увидеть это и предотвратить вторжение на раннем этапе, чтобы не пришлось повторять процесс чистки системы.
Пока вы анализируете журналы, все пользователи должны сменить свои пароли доступа к серверу и ко всем его службам.
Разбирая журналы, вы должны определить:
? какие службы использовал хакер, и в каких журналах есть записи о его активности на вашем сервере;
? какими учетными записями смог воспользоваться взломщик;
? какие команды он выполнял.
Вы должны узнать как можно больше, чтобы определить, было ли выполнено все необходимое для предотвращения повторной попытки взлома. Некоторые администраторы просто возобновляют работу сервера и через какое-то время расплачиваются за это.
Желательно получить максимальное количество информации о хакере, чтобы эти сведения можно было предоставить в правоохранительные органы. Не пытайтесь бороться со взломом самостоятельно, потому что у вас может не хватить сил. Обратитесь за помощью в компетентные организации, которые обладают достаточными ресурсами для выявления и пресечения атак. Но, чувствуя безнаказанность, хакер будет продолжать вторжения, и может возникнуть ситуация, когда взломщик успеет получить свое.
Более 800 000 книг и аудиокниг! 📚
Получи 2 месяца Литрес Подписки в подарок и наслаждайся неограниченным чтением
ПОЛУЧИТЬ ПОДАРОКДанный текст является ознакомительным фрагментом.
Читайте также
Совет 52: Взлом смартфона
Совет 52: Взлом смартфона Современные мобильные ОС несколько ограничивают свободу владельца смартфона, например не дают ему возможность изменять системные файлы. Сбросить эти оковы помогает «взлом» смартфона и получение прав администратора — эта операция называется
1.1.2. Взлом WWW-сервера
1.1.2. Взлом WWW-сервера При взломе WWW-сервера есть свои особенности. Если на нем выполняются CGI/PHP или иные скрипты, то взлом проводится совершенно по-другому. Для начала нужно просканировать сервер на наличие уязвимых CGI-скриптов. Вы не поверите, но опять же по исследованиям
1.1.7. Взлом паролей
1.1.7. Взлом паролей Когда взломщик пытается проникнуть в систему, то он чаще всего использует один из следующих способов:? если на атакуемом сервере уже есть аккаунт (пусть и гостевой), то можно попытаться поднять его права;? получить учетную запись конкретного
4.3.6. Взлом паролей
4.3.6. Взлом паролей Я еще раз хочу напомнить о недопустимости использования простых паролей не только для администратора, но и для всех пользователей системы. Если проследить за уязвимостями, которые находят в Linux-системах, то очень часто можно увидеть сплоиты, которые
14.10. Взлом паролей
14.10. Взлом паролей Очередной идиотизм, который могли придумать хакеры, — это подбор паролей. Когда взломщик не может изобрести ничего оригинального, он запускает подбор паролей. Об этом мы уже говорили в разд. 1.1.7, но тогда мы затронули эту тему только вскользь, а сейчас
Глава 6 Взлом во имя любви
Глава 6 Взлом во имя любви Kyoo olxi rzr Niyovo Cohjpcx ojy dn T apopsy? [31] Ленни Ди-Чикко рассказал мне, что на этот раз, работая в авиакомпании Hughes, он завязал очень близкие отношения с одной девушкой из службы безопасности. Я должен был прийти в компанию ночью, когда эта девушка дежурила, и
12.6. Взлом
12.6. Взлом В заключение мы рассмотрим один из методов вскрытия шифров. Здесь мы попытаемся реализовать приложение, которое будет способно взломать шифр Цезаря. Оно будет основываться на одном довольно распространенном методе криптоанализа, который называется частотным
Глава 3 Взлом – это настоящее искусство!
Глава 3 Взлом – это настоящее искусство! ? Что движет хакерами? Взлом: некоторые примеры? УК, или Чем может закончиться "детская игра"Цель данной главы – сформировать у читателя общее представление о методах взлома, чтобы научиться
3.2. Взлом: некоторые примеры
3.2. Взлом: некоторые примеры Можно ли говорить о защите в отрыве от методов взлома? Нет, скажут многие из читателей и, несомненно, будут правы.Чтобы постичь суть или хотя бы понять, "как они делают это", рассмотрим следующие вопросы:? какие из уязвимостей вашей системы могут
6.1. Взлом и защита LAN
6.1. Взлом и защита LAN В этом разделе мы поговорим о безопасности локальной сети в контексте возможных вариантов взлома. На конкретном примере рассмотрим, насколько уязвимой может быть система и что предпринять, чтобы превратить ПК в черный ящик для взломщика.В качестве
6.3. Безопасность беспроводных сетей. Взлом и защита WI-FI
6.3. Безопасность беспроводных сетей. Взлом и защита WI-FI Не секрет, что беспроводные сети сравнимы по скорости и гораздо более удобны, чем традиционные проводные сети. Подумайте сами: никаких надоедливых проводов, мобильность и оперативность – вы больше не привязаны к
Взлом и защита локальной сети
Взлом и защита локальной сети Автор: Олег БойцевИсточник: © компьютерная газетаВ рамках данной статьи мы поговорим о безопасности локальной сети. Особое внимание будет уделено вопросам защиты технического уровня и практическим рекомендациям по обеспечению безопасной
Обнаружен крупнейший ботнет из мобильных устройств с ОС Android Андрей Васильков
Обнаружен крупнейший ботнет из мобильных устройств с ОС Android Андрей Васильков Опубликовано 24 сентября 2013 Российский разработчик антивирусных программ ООО «Доктор Веб», сообщает о выявлении специалистами компании самой крупной среди всех
Взлом федералов
Взлом федералов Люди часто не думают, какие материалы их организации доступны через Интернет. Для моего еженедельного шоу на KFI Talk Radio, в Лос-Анджелесе продюсер покопался в сети и обнаружил копию руководства для получения доступа к базам данных Национального Центра
Взлом BBS
Взлом BBS Существует большое количество программ, предназначенных для создания и поддержания работы BBS. Рассмотрим самую популярную среди них – Maximus.Несанкционированно проникнуть на BBS, получить доступ к закрытым областям, уничтожить информацию – такие задачи ставит
Взлом FTN-сетей
Взлом FTN-сетей Что можно сказать о широко используемой технологии FTN? Множество лазеек для взлома. Чего стоит почтовый файл PKT, содержащий в себе незашифрованный пароль, узнать который никаких проблем не составляет! А файлы с паролями в уважаемом всеми T-Mail, хранящиеся в