0
Limpieza de server

Solved 5 Respuestas 14 Views
A un amigo de un amigo, parece que le ownearon un servidor, aparentemente con una cuenta con acceso a sudo.

en /tmp/.xs encontre archivos muy sospechosos, con procesos ejecutandose

Cuales serian los pasos a seguir para segurizar nuevamente el servidor ?

5 Respuestas

3
Mejor respuesta
1. Desconectarlo de la red

2. Evaluar todos los servidores de la red. A la primera de cambio, desconectarlos también

3. Hacer una imagen del disco del server afectado, para análisis forense posterior

4. Formatear todo y reinstalar.
respondido por godlike (8,550 puntos) Jul 30, 2015
seleccionada por edux Ago 31, 2015
1Comentarios
comentado por qlixed (10,630 puntos) Jul 31, 2015
Es la que va, no se puede 'limpiar' con seguridad un server NUNCA.
Reinstall siempre.
1
Pasale el Lynis para saber en que estado esta (https://cisofy.com/lynis/) y que recomendaciones te da.
respondido por zingaya (4,480 puntos) Jul 30, 2015
1
Reinstalar, los datos que haya que guardar pasarles maldet o similar (por mas que sean archivos de texto).

Y si tenes ganas guardar el disco para analizar que hicieron, lo correcto en este caso seria desenchufar el server directo sin reiniciar.

 

Saludos
respondido por luigibalzani (10,470 puntos) Jul 30, 2015
0
Cambiar passwords

revisar logs por intentos de login y ver usuario que se logueó

sudo ejecutados

reglas de firewall, solo dejar inciiar conexiones de lugares conocidos

cambiar puerto ssh

habilitar el login por key

cambiarle el password a root y deshabilitar el PermitRoot login

Revisá los procesos a ver si hay alguno extraño.
respondido por ikarudelabasto (3,220 puntos) Jul 30, 2015
1

Ademas de lo de comenta @godlike lo importante es:

  • ANALIZAR LA IMAGEN, con eso vas a poder entender COMO entraron, punto fundamental critico para poder segurizarlo.
  • Parchear todos los servicios expuestos hacia internet/lan
  • Usar SELinux, es una GRAN capa de proteccion.
  • Recompilar el kernel con el parche de GRSecurity, es una MUY SUPERIOR Capa de proteccion respecto a SELinux y super simple de usar/configurar.
respondido por qlixed (10,630 puntos) Jul 31, 2015
...