Re: [BSD] feltörtek-hogyan tovább

Csaba Molnár molnarcs at gmail.com
2006. Nov. 8., Sze, 19:38:49 CET


Én is jártam egyszer így - a probléma egy nem frissített geeklog
motorral volt. Első dolog az lenne, hogy kiderítsd melyik oldalt
törték föl - ehhez tudni kéne, hogy milyen oldalak ezek? Tárhelyet
biztosítasz usereknek, akik maguk töltik föl tartalommal? Mivel a perl
script www alatt fut, olyan helyen lesznek a szkriptek, ahova van
írásjoga a www usernek (ami alatt az apacs fut). 200 oldal esetében ez
túlságosan nem szűkíti le a kört, de hát ez van. Ha megvan a hibás
oldal, akkor már viszonylag könnyű megtalálni a nem oda való fájlokat.
Nálam egyébként több backup másolatot is csinált magáról különböző
alkönyvtárakban. /tmp és /var/tmp-re is érdemes odafigyelni.

Így látatlanba nehéz tanácsot adni, mert sokminden múlik azon, hogy ki
üzemelteti a konkrét weboldalakat (egy fajta motort használnak, vagy
mindenki maga dönti el), de mindenesetre ha az van, mint nálam volt,
akkor manuálisan is megoldható a dolog. Ha már megtaláltál néhány nem
oda való fájlt, akkor azok attribútumai alapján megtalálhatod a többit
is, aztán törölheted őket. Nálam jelszócserére sem volt szükség - de
ez persze attól függ, hogy konkrétan mit is csinál a feltelepített
script (nálam nem adatokhoz próbált hozzáférni, hanem egy IRC szervert
akart futtatni). És a bejutás sem jelszón keresztül történt, hanem egy
geeklog biztonsági rés volt a felelős.

On 11/8/06, SZTANKAY, Zsolt <stan at mail.datanet.hu> wrote:
> A kifelé kommunikáció nem az én dolgom a szervezeten belül, csak
> felvetettem, hogy a problémának van egy ilyen vetülete is. Ennyi. Pont.
>
> Részemről az a helyzet amit írsz, én megmondom, hogy mi a valós helyzet
> és mi rá a megoldás. Nem ködösítek, nem hazudozok, roppantul sajnálom ha
> ez jött volna le számodra. A példák meg csak példák, és bár találkoztam
> már ilyenekkel, de nem a kimenő üzeneteimből ollóztam.
>
> Zsolt
>
> Attila Bardi írta:
> > Szia,
> >
> > nem tudom Te mit csinalsz ott. Gondolom csak uzemelteted a rendszert.
> > A helyedben szolnek a fonoknek, hogy betrotek, ezek a lepesek vannak.
> > Hazudni raer O vagy valaszthatja az igazmondast is. En egy
> > rendszergazdatol nem kodositest varnek, vagy "fullentest". Lehet, hogy ha
> > igazat mondasz, akkor elmegy par ceg, vagy valaki esetleg ugy gondolja,
> > hogy blablabla. De ott a masik oldal: azt is mondhatjak, hogy nezd meg
> > betortek hozza, de O felvallalja, nem kezdett el hazudozni.
> >
> > Tehat elso korben a rendszer rendberakasa mellett a jo kommunikacion lenne
> > a hangsuly. Betortek a rendszerbe, meg kell nekik mondani, hogy milyen
> > lehetosegeket hordoz ez magaban es egyaltalan nem szabad alulertekelni, es
> > el kell mondani, hogy milyen lepeseket tesztek a meg nagyobb biztonsag
> > erdekeben, hogy ez ne forduljon elo. Fordithatod meg a javadra is, es erre
> > az incidensre hivatkozva novelheted a biztonsagi beallitasokat, security
> > policy-t vezethetsz be, ... Csak ne hazudj, azzal tobbet arthatsz
> > magadnak.
> >
> >
> > On Wed, 8 Nov 2006, SZTANKAY, Zsolt wrote:
> >
> >
> >> Viszont 200 weboldal esetén "durva" beavatkozás mindenki
> >> jelszavát/jelszavait megváltoztatni. Meg kérdés hogyan kommunikálod le.
> >> Ha azt írod, feltörték, aggódnak, hogy milyen biztonságban lehetnek az
> >> adataik, ha azt mondod hardverhiba és újra kellett húzni, akkor meg a
> >> technikai háttér miatt aggódnak. Persze a legegyszerűbb, szétküldöd,
> >> hogy a nagyobb biztonság érdekében x időnként változtatni fogod a
> >> jelszavakat mostantól. De nálam biztos vannak itt ez ügyben jobban
> >> kimunkált elmék.
> >>
> >> Zsolt
> >>
> >> Szucs Istvan írta:
> >>
> >>> Inkább így folytatom a kérdezgetést...
> >>>
> >>> Ha az anyagokat(weboldalak, adatbázisok) átpakolom egy másik
> >>> szerverre, ugyanúgy megtörhetik gondolom azt is, mivel a jelszavak is
> >>> átmennek?
> >>>
> >>> SzüMe
>
> _______________________________________________
> BSD levlista
> BSD at hu.freebsd.org
> http://www.hu.freebsd.org/hu/mailman/listinfo/bsd
>


További információk a(z) BSD levelezőlistáról