Strona 1 z 2 12 OstatniOstatni
Pokaż wyniki 1 do 10 z 11

Temat: Serwer został z hackowany. Proszę o pomoc.

  1. #1
    Zarejestrowany
    Aug 2012
    Postów
    4

    Domyślnie Serwer został z hackowany. Proszę o pomoc.

    Mam serwer dedykowany. Przeżył on wiele ataków. Ostatnio był bardzo poważny wyciek danych. Jest to któryś raz z rzędu jak serwer stoi na skraju przepaści. Jestem ciekawy w jaki sposób ktoś go mógł z hackować. Nie wydaje mi się żeby SQL injection co kolwiek zrobili. Innych sposobów nie znam. Czy ktoś może mi pomóc? W jaki sposób mogli się włamać na serwer i uzyskać dostęp do bazy danych. W razie potrzeby mogę podać strone www na jakiej to wszystko stoi i jest z tym połączone. Licze na pomoc z waszej strony.

  2. #2
    Zarejestrowany
    Sep 2006
    Postów
    1,227

    Domyślnie

    • Czytaj logi wszystkich aplikacji, które pracują na tym serwerze,
    • Czytaj logi IDS i studiuj reguły, które zostały odpalone przez IDS,
    • Przeczytaj wszystkie CVS i wpisy bugtraq dotyczące oprogramowania i systemu operacyjnego, z których korzystasz,
    • zbierz pakiety przy pomocy tcpdumpa w czasie ataku i szczegółowo studiuj pakiety

    Forensics to ciężka i pracochłonna praca więc proszę - nie licz na to, że my to za ciebie zrobimy.

  3. #3
    Zarejestrowany
    Aug 2012
    Postów
    4

    Domyślnie

    Ktos dalej chetny?
    Ostatnio edytowane przez anorien : 08-10-2012 - 12:45

  4. #4
    Zarejestrowany
    Jun 2006
    Skąd
    rand(.eu)
    Postów
    8,748

    Domyślnie

    logi log logi... kiedy weszli - dokladna data i czas + wszystkie logi z danego dnia i paru dni wczesniej - jesli tego nie masz to wiele nie znajdziesz

    chcialem napisac nawet ze zobacze na ten Twoj serwer ale nie bede mial czasu do polowy wrzesnia przynajmniej wiec nawet sie nie oferuje... a w polowie wrzesnia to juz daaaaawno pozamiatane
    ctrl-alt-del.cc - soft reset site for IT admins and other staff :-)

  5. #5
    Zarejestrowany
    Jan 2009
    Postów
    836

    Domyślnie

    Od razu źle zrobiłeś bo po stwierdzeniu włamu trzeba było wyciągnąć wtyczkę z kontaktu (ważne by nie zamykać systemu ze względu na nadpisanie swapa śmieciami) i problem od razu zgłosić na psy - płacisz podatki to niech oni się martwią i główkują xD

  6. #6
    Zarejestrowany
    Jun 2006
    Skąd
    rand(.eu)
    Postów
    8,748

    Domyślnie

    Zbieranie materialu dowodowego do forensics zdalnie z serwerow dedykowanych/chmury nie jest takie proste jak w przypadku gdy masz fizyczny dostep do serwera...

    Niemniej jednak calosc mozna zalatwic w 2 polaczeniach SSH (jako root) i pierwsze co powinno sie zrobic to kopie RAM i calutkiego dysku na zdalny serwer. Owszem, zajmuje to mase czasu i lacza ale to jedyny sposob zdobycia w miare pewnych informacji o tym co sie stalo. Jedyne co trzeba wiedziec to jakie jest oznaczenie dysku (sda, sdb czy inne) i znac odpowiednie polecenie.

    Ostatnio w ten sposob zebralem calego dedyka gdzies w Niemczech. Po paru godzinach analizy (podstawy computer forensics) znalazlem ze serwer zostal walniety pod koniec 2008 roku, nowi 'wlasciciele' czuli sie jak u siebie w domu... oraz fakt ze byli pracownicy firmy nadal uzywali tej maszyny do hostingu swoich smieci, 2 lata po odejsciu z pracy. Oficjalnie ta maszyna nie byla nadzorowana przez firmowe IT/infosec wiec robili co chcieli.
    Dla jasnosci, ten dedyk mial 160GB HDD i spakowana kopia dysku calego zajela 52GB - mniej wiecej o takich wielkosciach mowimy.
    ctrl-alt-del.cc - soft reset site for IT admins and other staff :-)

  7. #7
    Zarejestrowany
    Aug 2012
    Postów
    4

    Domyślnie

    Tzn problem ciągnie sie juz od dlugiego czasu. Na psy z tym nie pójde bo nie odprowadzam podatku od zysku, więc by zaraz był problem. Pozatym oni i tak gówno zrobią. Co do czasu to serwer stoi już długo. Narazie cisza wiec jestem zadowolony
    Za rozwiązanie problemu przewidujemy wynagrodzenie :]
    Ostatnio edytowane przez anorien : 08-10-2012 - 12:46

  8. #8
    Zarejestrowany
    Jan 2009
    Postów
    836

    Domyślnie

    Anorien

    1. Serwer dedykowany do ?
    2. Serwer pełni jedną role czy wiele (JAKIE ?)
    3. Jaka jest wersja OS wraz z jego edycją (eg:ultimate)
    4. Czy liczba Twoich windows update'ów wynosi 0 ? jeśli nie to dlaczego ?
    5. Jakiego używasz firewala ? Ustawienia domyślne czy zmieniane ? rozważ wyłączenie echa ICMP aby utrudnić pingowanie.
    6. Czy masz usługi, których nie używasz ? np: RCP czy FTP. Nie używane usługi nawet w ostatnich łatkach zwiększają ryzyko włamania.
    7. Kto ma fizyczny dostęp do komputera ? włamywanie nie polega tylko na pisaniu na klawiaturze, ale też np: wyjęciu HDD i wtargnięciu w dane i odniesieniu HDD z powrotem
    Ostatnio edytowane przez Elitegroup : 08-08-2012 - 20:37

  9. #9
    Zarejestrowany
    Aug 2012
    Postów
    4

    Domyślnie

    Serwer dedykowany do gier.
    1. Do gier
    2. Serwer pełni jedną role. Słuzy do hostowania gry.
    3. Debian
    4. Czy liczba Twoich windows update'ów wynosi 0 ? jeśli nie to dlaczego ?
    5. Domyslny Firewall
    6. Nie ma
    7. Fizyczny tylko ja.

  10. #10
    Zarejestrowany
    Jan 2009
    Postów
    836

    Domyślnie

    4. windows zamień na linux :P i napisz cyfrę

    Jak mi powiesz co to za gra będzie miło. Gra grze nie równa. Przez m.in np: Quake można było przeprowadzić eskalację uprawnień do #.

Strona 1 z 2 12 OstatniOstatni

Zasady Postowania

  • Nie możesz zakładać nowych tematów
  • Nie możesz pisać wiadomości
  • Nie możesz dodawać załączników
  • Nie możesz edytować swoich postów
  •  
Subskrybuj