[Sysadmins] Подозрение на вторжение?

[Michael Shigorin]

On Tue, Oct 14, 2008 at 09:16:48PM +0300, Eugine Kosenko wrote:
> Система -- ALT Linux Server 4.0 Извиняюсь за, возможно,
> ламерский вопрос, но недавно был обнаружен взлом сервера.

Дырявый веб-скрипт или слабый логин подобрали?

(выяснение начинается с kill -STOP выясненного при помощи
netstat -pan и рассмотрения /proc/$H4X0R_PID/fd/, а также
прав на обнаруженный скрипт или бинарник)

> Кое-что удалось почистить с помощью netstat/lsof

На будущее: если есть подозрение, что получили не только шелл,
а и рута, может пригодиться pstree.  Похоже, пока мало в каких
руткитах учтено существование этой утилиты.

Ну и даже если контейнер один -- его крайне осмысленно засунуть
под ovz.

> но даже после этого nmap выдает:

Провайдер, как уже и сказали.

> Конкретно взлом был обнаружен на порту 8000, соответствующий
> сервис был обнаружен через netstat и прибит, результат проверен
> через telnet.  Теперь ни по этому ни по остальным портам
> netstat -anp и lsof -i никакой информации не дают.

Ты теперь созрел сделать полиси цепочки INPUT вида DROP или 
в эквиваленте с REJECT --reject-with icmp-port-unreachable? :)

> Еще раз извиняюсь за, возможно, глупые вопросы.

Ничего, в таких делах лучше переспросить, чем перегадать.

-- 
 ---- WBR, Michael Shigorin <mike на altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/