DevProTalk - Pogledajte određenu poruku - Kako otkriti kako je neko provalio u sajt

Vace · 17. 03. 2008.

Malo je nezgodno jer svi mi ovde više manje pogađamo šta bi moglo da bude a - da se razumemo - može da bude sve i svašta.

Ja sam godinu dana bio administrator za jedan američki datacentar i na svakih 10-15 dana sam radio to što ti radiš sada. I skoro svaki put je bilo drugačije.

Prvo pusti rkhunter da odradi svoje pa čitaj šta će da ti kaže. Ako je haker bio pravi i ubacio svoje fajlove, može lako da se desi da ćeš morati da uzmeš drugi server. Ja sam to imao u 10-15% slučajeva.

Onda pregledaj log file-ove za sve korisnike. Ne mislim ručno, ali možeš da grepuješ sve log file-ove samo jednom komandom ... sve zavisi od putanje do korisničkih naloga. Pregledaj i sve log file-ove koje ti generiše HSphere. Traži gde se pojavljuje znak % ili tgz, pa ako imaš sreće isplivaće na videlo.

Proveri sve user-e na serveru koji imaju ssh ili ftp pristup. Pogledaj .bash_history file-ove da vidiš šta je ko radio na serveru. Pogledaj ko se sve i odakle logovao. Redovno proveravaj server load, aktivne procese i konekcije na serveru.

...

Narodski rečeno, ima da rodiš mečku ako ti je to prvi put da juriš hakera sa komandne linije. Moj server je isto pod HSphere kontrolnim panelom tako da znam šta pričam.

Uostalom, jesi li pokušao da kontaktiraš admina u datacentru ? Ako ti je HSphere-a legalna, možeš da kontaktiraš i njih (nekad PSoft pa Comodo pa Parallel) i zatražiš pomoć.

17. 03. 2008.	#23
Vace član Na probnom radu Datum učlanjenja: 06.11.2007 Poruke: 38 Hvala: 1 0 "Hvala" u 0 poruka	Malo je nezgodno jer svi mi ovde više manje pogađamo šta bi moglo da bude a - da se razumemo - može da bude sve i svašta. Ja sam godinu dana bio administrator za jedan američki datacentar i na svakih 10-15 dana sam radio to što ti radiš sada. I skoro svaki put je bilo drugačije. Prvo pusti rkhunter da odradi svoje pa čitaj šta će da ti kaže. Ako je haker bio pravi i ubacio svoje fajlove, može lako da se desi da ćeš morati da uzmeš drugi server. Ja sam to imao u 10-15% slučajeva. Onda pregledaj log file-ove za sve korisnike. Ne mislim ručno, ali možeš da grepuješ sve log file-ove samo jednom komandom ... sve zavisi od putanje do korisničkih naloga. Pregledaj i sve log file-ove koje ti generiše HSphere. Traži gde se pojavljuje znak % ili tgz, pa ako imaš sreće isplivaće na videlo. Proveri sve user-e na serveru koji imaju ssh ili ftp pristup. Pogledaj .bash_history file-ove da vidiš šta je ko radio na serveru. Pogledaj ko se sve i odakle logovao. Redovno proveravaj server load, aktivne procese i konekcije na serveru. ... Narodski rečeno, ima da rodiš mečku ako ti je to prvi put da juriš hakera sa komandne linije. Moj server je isto pod HSphere kontrolnim panelom tako da znam šta pričam. Uostalom, jesi li pokušao da kontaktiraš admina u datacentru ? Ako ti je HSphere-a legalna, možeš da kontaktiraš i njih (nekad PSoft pa Comodo pa Parallel) i zatražiš pomoć.