Tips to fix your exploited server
Comandi utili e cose da fare se vi trovate con una macchina ownata (bucata, hackata, etc…):
- stoppare qualsiasi demone (tranne sshd)
- installare il pacchetto “chkrootkit” e lanciarlo
- verificare i processi attivi “strani” con ‘ps auxwww’ (perl script, wget, processi ownati da www-data o cmq dall’utente di apache)
- effettuare un lfos dei processi “strani” ‘lsof | grep <PID>’
- eseguire un ‘debsums -a’ per verificare i pacchetti “corrotti” da reinstallare
- se il sistema risulta particolarmente compromesso (shell e comandi fondamentali rm, mv, ls, date, ecc.. rootkitati, se fate un “rm” e vi segfaulta avete un rootkit installato) consiglio di fare un scp da una macchina con la stessa distribuzione e versione per ripristinare momentaneamente i comandi fondamentali
- reinstallare tutti i pacchetti FAILED del comando ‘debsums -a|grep -v OK’
- reinstallare cmq i seguenti pacchetti ‘date, console-*, coreutils’ (Debian)
- verificare che tutti sia andato in ordine con un reboot e ripetendo le verifiche
If you enjoyed this post, please consider to leave a comment or subscribe to the feed and get future articles delivered to your feed reader.
No Responses to “Tips to fix your exploited server”
No comments yet.
Leave a comment