Tips to fix your exploited server

Comandi utili e cose da fare se vi trovate con una macchina ownata (bucata, hackata, etc…):

– stoppare qualsiasi demone (tranne sshd)
– installare il pacchetto “chkrootkit” e lanciarlo
– verificare i processi attivi “strani” con ‘ps auxwww’ (perl script, wget, processi ownati da www-data o cmq dall’utente di apache)
– effettuare un lfos dei processi “strani” ‘lsof | grep <PID>’
– eseguire un ‘debsums -a’ per verificare i pacchetti “corrotti” da reinstallare
– se il sistema risulta particolarmente compromesso (shell e comandi fondamentali rm, mv, ls, date, ecc.. rootkitati, se fate un “rm” e vi segfaulta avete un rootkit installato) consiglio di fare un scp da una macchina con la stessa distribuzione e versione per ripristinare momentaneamente i comandi fondamentali
– reinstallare tutti i pacchetti FAILED del comando ‘debsums -a|grep -v OK’
– reinstallare cmq i seguenti pacchetti ‘date, console-*, coreutils’ (Debian)
– verificare che tutti sia andato in ordine con un reboot e ripetendo le verifiche

Post simili:

If you enjoyed this post, please consider to leave a comment or subscribe to the feed and get future articles delivered to your feed reader.

One Response to “Tips to fix your exploited server”
  1. Matt
    20:16 on February 25th, 2011

    Any way that you could post an english version of this page? I like your site and would like to know what you have to say about fixing servers.

Leave a comment

(required)

(required)


*

Categories