Форум русскоязычного сообщества Ubuntu


Получить помощь и пообщаться с другими пользователями Ubuntu можно
на irc канале #ubuntu-ru в сети Freenode
и в Jabber конференции ubuntu@conference.jabber.ru

Автор Тема: Проверка на взлом Ubuntu 12.04 (не имея доступа к сети)  (Прочитано 848 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн goodguy

  • Автор темы
  • Новичок
  • *
  • Сообщений: 4
    • Просмотр профиля
Здравствуйте,
Не знаю подходит ли эта тема в раздел настроек системы, но ничего более подходящего не нашел.
В общем, возникла такая неприятная проблема. Есть выделенный сервер, арендованный у рег.ру, система на нем стоит ubuntu 12.04 32 бита, декстопка. На сервере бэкэнд для пары игр в контакте и одноклассниках (сокет сервер на джаве+дерби, апачи2+ mysql+php).
Собственно все. Больше он мне ни для каких целей не нужен.
Позавчера мне поступило уведомления от провайдера, что мой сервер кого-то там атакует. Прислали логи атак, и саму жалобу от superb.net. Не знаю были ли атаки на самом деле, или они так у конкурентов клиентуру отбивают, но суть не в этом. Айпишник сервера заблокировали и попросили устранить причину блокировки. И тут я был просто в ступоре. Знать бы еще что устранять. В общем,
сейчас у меня есть к нему доступ только через kvm. То есть на сервак я зайти могу, но установить что-то из репозиториев или вообще откуда бы то ни было из сети не могу.

Действия которые я предпринял:
1) Просмотрел всевозможные логи, от логов ssh (в которых, кстати были неоднократные попытки сбрутить систему, но везде окончились фейлом, так как пароль там довольно сложный),
2) проверил логи установок, в которых тоже ничего подозрительного не нашел.
3) Дальше решил забить на возню с этой учеткой, удалил ее и создал новую УЗ, с абсолютно новым паролем, еще более сложным. Никаких данных из той в нее не копировал (может это и бред, но чтоб уж наверняка ничего с копией не пришло)

Так как на сервере Linux, то антивируса я туда в принципе никогда не ставил. Просто всегда подходил ко всем установкам ПО с головой. Но, видимо, где-то что-то все-таки недоглядел, либо жалоба фальшивая.

Сейчас провайдер спрашивает какие меры я предпринял. Ну, я им отписался о том же, что написал выше.

Вот сейчас возник вопрос, а что можно еще предпринять, не имея доступа к сети?
Понятно, что универсального способа не существует. Поэтому я и прошу подсказать, куда еще можно попробовать копнуть и что проверить

п.с. Переустановку системы советовать не нужно. Этот вариант я оставил напоследок, если ничего другого сделать не удастся
« Последнее редактирование: 28 Ноября 2013, 19:45:06 от goodguy »

 

Страница сгенерирована за 0.015 секунд. Запросов: 22.