Поиск последствий взлома. Пожалуйста помогите!

Простые/общие вопросы по UNIX системам. Спросите здесь, если вы новичок

Модераторы: vadim64, terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Аватара пользователя
Evgen_pnz
рядовой
Сообщения: 46
Зарегистрирован: 2009-03-20 13:09:31
Откуда: Penza
Контактная информация:

Поиск последствий взлома. Пожалуйста помогите!

Непрочитанное сообщение Evgen_pnz » 2012-08-22 10:46:10

Добрый день!
Начну сразу в лоб. Сегодня уже под утро заглянул в почтовый ящик и решил глянуть как на работе поживает сервак, открыл письмо и увидел такую картину:
Charlie Root 03:04 svr1.hidedomen.ru security run output
Checking setuid files and devices:

Checking for uids of 0:
root 0
toor 0

Checking for passwordless accounts:

Checking login.conf permissions:

svr1.hidedomen.ru ipfw denied packets:

svr1.hidedomen.ru login failures:
Aug 21 00:01:35 svr1 su: BAD SU evk to root on /dev/pts/1
Aug 21 20:52:52 svr1 sshd[57284]: Invalid user evk4 from 85.xxx.xx.76
Aug 21 20:53:20 svr1 su: BAD SU evk to root on /dev/pts/0

svr1.hidedomen.ru refused connections:

-- End of security output --
Стал естественно судорожно вспоминать не накрыла ли меня амнезия и не пытался ли я авторизоваться сам. Насколько я смог вспомнить, то на этот сервак я заходил только сразу после выхода из отпуска 1 августа. Естественно полез дальше в почту и нашёл такую же картину за день до этого, а также 12 и 13 августа. Это фронтенд на нем крутится nginx, apache+php модулем, mysql, exim, proftp. За ним ещё больше десятка серверов, но не в этом дело. Сам сервак за железным балансером(на нём открыты лишь несколько портов, один из которых 1222 для SSH), увы полные логи на нём хранятся меньше часа. Можно было бы предположить, что это кто-то из коллег, но важной особенностью было то, что айпишник то мой домашний. Но меня дома не было вплоть до сегодняшнего дня и компы были вырублены, в сети был только роутер и он без радиомодуля. Дело в том что на сервера доступ по SSH возможен только с нескольких айпишников, а единственный внешний из них мой.

Естественно сразу полез в логи авторизации (/var/log/auth.log):
Jul 29 13:41:48 svr1 sshd[91039]: Accepted keyboard-interactive/pam for evk from 85.xxx.xx.76 port 60767 ssh2
Jul 29 13:41:58 svr1 su: BAD SU evk to root on /dev/pts/1
Jul 29 13:42:11 svr1 su: evk to root on /dev/pts/1
Aug 1 18:38:12 svr1 sshd[4842]: Accepted keyboard-interactive/pam for evk from 85.xxx.xx.76 port 60333 ssh2
Aug 1 18:38:20 svr1 su: evk to root on /dev/pts/1
Aug 22 05:45:53 svr1 sshd[83274]: Accepted keyboard-interactive/pam for evk from 85.xxx.xx.76 port 62663 ssh2
Aug 22 05:46:02 svr1 su: evk to root on /dev/pts/1
И тут меня ждала неожиданная картина. Если изначально я надеялся, что прав рута получить ему так и не удалось, то тут надежды рухнули. Как можно сразу заметить в логах не хватает куска, остались лишь действительно мои авторизации. В messages тоже было подчищено. Можно сказать, что следы, каким то чудом попали попали лишь в periodic daily, и наверное таким же чудом были замечены среди писем с других машин.

Если честно, то я немного в панике, каким образом это удалось провернуть:
Пароль юзера был 21 символ, а рута 25. Порты SSH для всех машин не стандартные. Естественно прямая авторизация рутом запрещена. Доступ из вне был лишь с одного айпи и лишь для определенного пользователя, и проверялось это как на шлюзе так и средствами sshd. Для всех служб были свои юзеры и группы, никак не пересекающиеся с группой wheel.

Система:
FreeBSD svr1.hidedomen.ru 8.0-RELEASE FreeBSD 8.0-RELEASE #2: Fri Jan 1 06:39:38 MSK 2010 evk@svr1.hidedoment.ru:/usr/obj/usr/src/sys/main_kernell.2009-31-12 amd64

На текущий момент сменил пароли юзера и рута, установил отправку на почту письма при загрузки, после авторизации, командной оболочки.

Но самое важное, помогите найти следы того, что могло быть изменено в системе? Какие последствия взлома? Беспокоит именно то, что практически нет следов и симптомов, и я как раз таки уверен, что я просто не могу их найти. Подскажите куда копать!
Хочу понять где я олень :(

Заранее, огромное человеческое спасибо!

P.S.: Если понадобятся доп. логи или конфиги, а также версии установленного софта, все выложу без проблем.
Не знаю кто писал мою жизнь, но чувствую я себя бета-тестером...

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Bayerische
капитан
Сообщения: 1820
Зарегистрирован: 2010-12-25 20:41:50
Откуда: Хлебная столица

Re: Поиск последствий взлома. Пожалуйста помогите!

Непрочитанное сообщение Bayerische » 2012-08-22 11:00:08

У нас всё банально было — человек, после утраты доверия, был лишён админских привилегий. Из sudoers исключён, а в wheel оставлен по забывчивости. Ну и гадил почти месяц втихаря.

ChihPih
ст. прапорщик
Сообщения: 568
Зарегистрирован: 2009-09-04 12:23:30
Откуда: Где-то в России...
Контактная информация:

Re: Поиск последствий взлома. Пожалуйста помогите!

Непрочитанное сообщение ChihPih » 2012-08-22 11:10:00

Первое что следует проверить, так это места автозапуска - atq, crontab -l, /etc/crontab. Если там пусто, смотреть не загружено ли чего лишнего в процессы или модули ядра. Посмотреть на предмет добавления новых путей для поиска либ (man ldconfig). Далее можно сверять хэш суммы файлов системы с оригинальными: библиотеки, исполняемые файлы, ну и конечно скрипты в /etc/rc.d (а можно просто мир заново накатить, тока перед этим csup,нуть исходники и пересобрать все порты после).
www.info-x.org - информационный ресурс о ОС FreeBSD.

Аватара пользователя
Evgen_pnz
рядовой
Сообщения: 46
Зарегистрирован: 2009-03-20 13:09:31
Откуда: Penza
Контактная информация:

Re: Поиск последствий взлома. Пожалуйста помогите!

Непрочитанное сообщение Evgen_pnz » 2012-08-22 11:11:54

Тут видно, что копали под мою учётку. И сразу под рут попасть не смогли. Как смогли узнать пароль юзера, не знаю, я их никогда и нигде не сохраняю. Все пароли в голове. Единственное где я его заюзал это в интернет-банкинге, одного российского банка. Но там авторизация 256 битная. Но самое удивительное это мой же айпишник в логах. Как, я понять не могу.
Не знаю кто писал мою жизнь, но чувствую я себя бета-тестером...

Аватара пользователя
Shuba
ст. сержант
Сообщения: 365
Зарегистрирован: 2008-03-25 10:58:21
Откуда: Минск
Контактная информация:

Re: Поиск последствий взлома. Пожалуйста помогите!

Непрочитанное сообщение Shuba » 2012-08-22 16:19:59

Evgen_pnz писал(а):Тут видно, что копали под мою учётку. И сразу под рут попасть не смогли. Как смогли узнать пароль юзера, не знаю, я их никогда и нигде не сохраняю. Все пароли в голове. Единственное где я его заюзал это в интернет-банкинге, одного российского банка. Но там авторизация 256 битная. Но самое удивительное это мой же айпишник в логах. Как, я понять не могу.
Ну как вариант какую-то заразу на домашней тачке словил, ну а от заразы всего можно ожидать, и анономного прокси, и кейлоггера...
Сила ночи, сила дня - одинакова фигня!

Аватара пользователя
Evgen_pnz
рядовой
Сообщения: 46
Зарегистрирован: 2009-03-20 13:09:31
Откуда: Penza
Контактная информация:

Re: Поиск последствий взлома. Пожалуйста помогите!

Непрочитанное сообщение Evgen_pnz » 2012-08-22 20:40:56

Shuba писал(а):Ну как вариант какую-то заразу на домашней тачке словил, ну а от заразы всего можно ожидать, и анономного прокси, и кейлоггера...
Я бы без сомнения тоже думал именно на это, но не сходится два фактора:
1) Я приехал вчера поздно вечером из командировки, в которую меня отправили ещё 6 августа. Все это время компы были вырублены. В сети только домашний DI-604.
2) Если бы кейлоггер, то было бы так много бед су?
ChihPih писал(а):Первое что следует проверить, так это места автозапуска - atq, crontab -l, /etc/crontab. Если там пусто, смотреть не загружено ли чего лишнего в процессы или модули ядра. Посмотреть на предмет добавления новых путей для поиска либ (man ldconfig). Далее можно сверять хэш суммы файлов системы с оригинальными: библиотеки, исполняемые файлы, ну и конечно скрипты в /etc/rc.d (а можно просто мир заново накатить, тока перед этим csup,нуть исходники и пересобрать все порты после).
Очередь пустая, кронтаб пустой, процессы вроде бы тоже все до боли знакомые.
Модули ядра, тоже без изменений. /boot/modules пустой, /boot/kernel только модули от 1 января 10 года, /boot/loader.conf тоже пустой, /boot/defaults/loader.conf от 21 октября 10.
Скрипты в /etc/rc.d/ тоже с датой изменения от 21 октября 10.
в rc.conf ничего постороннего нет.
А вот по хешам, подскажите если не трудно, как бы это сделать максимально быстро?

Почистили всё, в том числе last, там этих авторизаций нет, lastcomm, тоже ничего не дал. У меня уже паранойя, вроде бы и следов нет, но события в отчёте на почту, тоже же с потолка не пришли.
Не знаю кто писал мою жизнь, но чувствую я себя бета-тестером...

ChihPih
ст. прапорщик
Сообщения: 568
Зарегистрирован: 2009-09-04 12:23:30
Откуда: Где-то в России...
Контактная информация:

Re: Поиск последствий взлома. Пожалуйста помогите!

Непрочитанное сообщение ChihPih » 2012-08-22 20:56:16

А вот по хешам, подскажите если не трудно, как бы это сделать максимально быстро?
Самописным скриптом ток. Хотя в данном случае не прокатит, их на чистой системе надо запоминать, ведь если мир пересобирался то хэши полюбому другие будут.
www.info-x.org - информационный ресурс о ОС FreeBSD.

Аватара пользователя
Evgen_pnz
рядовой
Сообщения: 46
Зарегистрирован: 2009-03-20 13:09:31
Откуда: Penza
Контактная информация:

Re: Поиск последствий взлома. Пожалуйста помогите!

Непрочитанное сообщение Evgen_pnz » 2012-08-22 20:56:59

Весь день сегодня сегодня с коллегой копали эту машину. Что самое противное, если бы ради пакости сделали и сразу всплыли симптомы то и душа была бы спокойнее, просто вырубили бы эту машину, все данные на ней все равно крутятся через схд, а балансер бы быстро перекинул пакеты на оставшийся фронтенд. А так ради чего? Зомбировать машину? Зачем так тщательно чистить следы прибывания?

ChihPih, да мир и ядро пересобирались. Естественно в тот момент никто и не задумывался сайвить хеши :(
Не знаю кто писал мою жизнь, но чувствую я себя бета-тестером...

Аватара пользователя
dmtr
ст. прапорщик
Сообщения: 545
Зарегистрирован: 2009-11-06 22:01:34
Откуда: с Ростова

Re: Поиск последствий взлома. Пожалуйста помогите!

Непрочитанное сообщение dmtr » 2012-08-23 9:02:32

Aug 21 00:01:35 svr1 su: BAD SU evk to root on /dev/pts/1
за другие дни сообщения аналогичные?
То есть откуда и когда подключались под evk неизвестно (вариант:
из локалки?
с рабочего офисного компа?
можт когда-то ключ генерил, есть /home/evk/authorized_keys?
можт твой же скрипт какой-то забытый/неотдебаженый по крону? логи крона в тоже время?).
Invalid user evk4 from 85.xxx.xx.76
Думай как это могло произойти. ip статически прописан на длинке или он мостом настроен? логи домашних компов на предмет включения во время твоего отсутсвия проверить. Попробовать у провайдера выяснить мак с которого в это время работал твой ip (но это должно повезти добиться пообщаться с инженером (с инженером тоже должно повезти), а не с первой линией сапорта). даже если ты получишь от них СВОЙ мак будет о чем думать дальше.
Как можно сразу заметить в логах не хватает куска
но ведь именно так
Aug 1 18:38:12 svr1 sshd[4842]: Accepted keyboard-interactive/pam for evk from 85.xxx.xx.76 port 60333 ssh2
Aug 1 18:38:20 svr1 su: evk to root on /dev/pts/1
Aug 22 05:45:53 svr1 sshd[83274]: Accepted keyboard-interactive/pam for evk from 85.xxx.xx.76 port 62663 ssh2
Aug 22 05:46:02 svr1 su: evk to root on /dev/pts/1
и должен был бы выглядеть лог если ты коннектился 1-го, а в следующий раз 20-го? или другие пользователи ходят на север и они в логе должны быть?

это я все к тому, что на мой взгляд факт взлома надо еще подтвердить
This game has no name. It will never be the same.

Аватара пользователя
dmtr
ст. прапорщик
Сообщения: 545
Зарегистрирован: 2009-11-06 22:01:34
Откуда: с Ростова

Re: Поиск последствий взлома. Пожалуйста помогите!

Непрочитанное сообщение dmtr » 2012-08-23 9:06:59

На текущий момент сменил пароли юзера и рута
да, в таких ситуациях это первое что хочется сделать и побыстрее. Но на холодную голову понимаешь, что если что-то хотели сделать уже сделали, а поймать гораздо проще как раз оставив доступ в систему и включив дополнительные логирования и уведомления
This game has no name. It will never be the same.

Гость
проходил мимо

Re: Поиск последствий взлома. Пожалуйста помогите!

Непрочитанное сообщение Гость » 2012-08-23 11:31:41

Недавно было нечто похожее, на почту пришел отчет, что якобы с моего ипа логинились на сервак, хотя точно знаю, что в это время не логинился. Полез на сервер, и оказалось, что это я же и был, но только год назад. Хз, но почему то отчеты приходят вида "Aug 21 00:01:35" без указания года. И просто при наступлении даты этого года, в отчет попадают данные за эту же дату, но прошлого года.

Аватара пользователя
Evgen_pnz
рядовой
Сообщения: 46
Зарегистрирован: 2009-03-20 13:09:31
Откуда: Penza
Контактная информация:

Re: Поиск последствий взлома. Пожалуйста помогите!

Непрочитанное сообщение Evgen_pnz » 2012-08-23 16:27:38

dmtr писал(а):за другие дни сообщения аналогичные?
То есть откуда и когда подключались под evk неизвестно (вариант:
из локалки?
с рабочего офисного компа?
можт когда-то ключ генерил, есть /home/evk/authorized_keys?
можт твой же скрипт какой-то забытый/неотдебаженый по крону? логи крона в тоже время?).
Да аналогичные. Да ты прав, в том плане, что точно не известно, сделать такой вывод подтолкнула только строчка:
Invalid user evk4 from 85.xxx.xx.76
dmtr писал(а):Думай как это могло произойти. ip статически прописан на длинке или он мостом настроен? логи домашних компов на предмет включения во время твоего отсутсвия проверить. Попробовать у провайдера выяснить мак с которого в это время работал твой ip (но это должно повезти добиться пообщаться с инженером (с инженером тоже должно повезти), а не с первой линией сапорта). даже если ты получишь от них СВОЙ мак будет о чем думать дальше.
Пообщаться сейчас с инженером вряд ли получиться, до того как их купило яйцо, там были вполне адекватные мужики, с которыми можно было без проблем договориться, но сейчас увы почти все ушли оттуда.
А так да, ip статичный, компы в теории даже стартовать не могли, потому как оба компа и бук подключены через упс, он был вырублен. И даже если предположить, что кому-то фантастическим образом удалось стартовать упс и комп, или хотя бы бук, то есть то, что никак нельзя сделать удалённо, это включить сетевой фильтр от которого запитан свич в комнате, который как раз и лежит на пути между компами и роутером. У провайдера, IP жестко привязаны к портам коммутатора в подъезде, был случай что после выгорания порта и вызова техника, после того как он переткнул патчкорд в другой порт, мы с ним 15 минут чай пили пока его коллеги удалённо заходили на коммутатор и перебрасывали привязку.
dmtr писал(а):но ведь именно так
Aug 1 18:38:12 svr1 sshd[4842]: Accepted keyboard-interactive/pam for evk from 85.xxx.xx.76 port 60333 ssh2
Aug 1 18:38:20 svr1 su: evk to root on /dev/pts/1
Aug 22 05:45:53 svr1 sshd[83274]: Accepted keyboard-interactive/pam for evk from 85.xxx.xx.76 port 62663 ssh2
Aug 22 05:46:02 svr1 su: evk to root on /dev/pts/1
и должен был бы выглядеть лог если ты коннектился 1-го, а в следующий раз 20-го? или другие пользователи ходят на север и они в логе должны быть?

это я все к тому, что на мой взгляд факт взлома надо еще подтвердить
И тут можно было бы сказать, что ты прав, на эту машину никто больше не авторизуется, для всех остальных есть фтп, однако я в торопях упустил один важный момент, который как раз и покажет, что с логом что-то не так. А именно 19 числа должна была быть авторизация! Да без в хода под рут, но должна. Так как именно 19 августа я перед выездом домой из другого филиала, через впн туннель подключался к этой машине с локальным адресом. Этого в логах нет! :( Отсюда вывод, лог подчистили, а когда чистили просто не заметили и потерли и одну мою авторизацию.
dmtr писал(а):
На текущий момент сменил пароли юзера и рута
да, в таких ситуациях это первое что хочется сделать и побыстрее. Но на холодную голову понимаешь, что если что-то хотели сделать уже сделали, а поймать гораздо проще как раз оставив доступ в систему и включив дополнительные логирования и уведомления
Увы дело сделано, однако если это кейлоггер, то на этот случай в системе стоит ловушка, как только кто-то загружает командную оболочку рута, на почту сразу же уходит письмо вида:
ALERT - Root Shell Access on: Wed Aug 22 20:54:20 MSK 2012 evk pts/1 Aug 22 20:54 (85.xxx.xx.76)
Гость писал(а):Недавно было нечто похожее, на почту пришел отчет, что якобы с моего ипа логинились на сервак, хотя точно знаю, что в это время не логинился. Полез на сервер, и оказалось, что это я же и был, но только год назад. Хз, но почему то отчеты приходят вида "Aug 21 00:01:35" без указания года. И просто при наступлении даты этого года, в отчет попадают данные за эту же дату, но прошлого года.
Я тоже поначалу сомневался в periodic daily, но не может же быть что он так глючит, хотя если всё таки следов найти не получиться, обязательно проверю эту теорию и гляну архивные логи. :smile:

UPD: Всё отбой, проблема найдена. А именно, проверил логи и оказалось, что логинился я из другого филиала к svr3-второму фронтенду, в его логах я нашёл эту авторизацию. НО самое важное, спасибо тебе Гость!
Подробности пост ниже ->
Не знаю кто писал мою жизнь, но чувствую я себя бета-тестером...

Аватара пользователя
Evgen_pnz
рядовой
Сообщения: 46
Зарегистрирован: 2009-03-20 13:09:31
Откуда: Penza
Контактная информация:

Re: Поиск последствий взлома. Пожалуйста помогите!

Непрочитанное сообщение Evgen_pnz » 2012-08-23 16:53:39

И так подробности ситуации. Начну с тех самых злополучных отчётов:
От 22 Августа Charlie Root 03:04 svr1.hidedomen.ru security run output
Checking setuid files and devices:

Checking for uids of 0:
root 0
toor 0

Checking for passwordless accounts:

Checking login.conf permissions:

svr1.hidedomen.ru ipfw denied packets:

svr1.hidedomen.ru login failures:
Aug 21 00:01:35 svr1 su: BAD SU evk to root on /dev/pts/1
Aug 21 20:52:52 svr1 sshd[57284]: Invalid user evk4 from 85.xxx.xx.76
Aug 21 20:53:20 svr1 su: BAD SU evk to root on /dev/pts/0

svr1.hidedomen.ru refused connections:

-- End of security output --
От 20 Августа Charlie Root 03:04 svr1.hidedomen.ru security run output
Checking setuid files and devices:

Checking for uids of 0:
root 0
toor 0

Checking for passwordless accounts:

Checking login.conf permissions:

svr1.hidedomen.ru ipfw denied packets:

svr1.hidedomen.ru login failures:
Aug 19 07:40:09 svr1 su: BAD SU evk to root on /dev/pts/0

svr1.hidedomen.ru refused connections:

-- End of security output --
А теперь кусок лога за прошлый год:
Aug 16 02:30:03 svr1 su: evk to root on /dev/pts/0
Aug 18 19:23:11 svr1 sshd[84532]: Accepted keyboard-interactive/pam for evk from 192.168.2.11 port 60769 ssh2
Aug 18 19:23:24 svr1 su: evk to root on /dev/pts/0
Aug 19 07:40:02 svr1 sshd[1480]: Accepted keyboard-interactive/pam for evk from 192.168.2.11 port 60453 ssh2
Aug 19 07:40:09 svr1 su: BAD SU evk to root on /dev/pts/0
Aug 19 07:40:18 svr1 su: evk to root on /dev/pts/0
...
Aug 19 07:57:06 svr1 sshd[1332]: Accepted keyboard-interactive/pam for evk from 192.168.2.11 port 64581 ssh2
Aug 19 07:57:14 svr1 su: evk to root on /dev/pts/0
Aug 20 23:58:30 svr1 sshd[9455]: Accepted keyboard-interactive/pam for evk from 85.xxx.xx.76 port 64235 ssh2
Aug 20 23:58:39 svr1 su: evk to root on /dev/pts/0
Aug 21 00:01:27 svr1 sshd[13492]: Accepted keyboard-interactive/pam for evk from 85.xxx.xx.76 port 61131 ssh2
Aug 21 00:01:35 svr1 su: BAD SU evk to root on /dev/pts/1
Aug 21 00:01:45 svr1 su: evk to root on /dev/pts/1
Aug 21 00:02:18 svr1 sshd[47923]: Accepted keyboard-interactive/pam for evk from 85.xxx.xx.76 port 64523 ssh2
Aug 21 00:02:28 svr1 su: evk to root on /dev/pts/2
Aug 21 20:52:52 svr1 sshd[57284]: Invalid user evk4 from 85.xxx.xx.76
Aug 21 20:53:13 svr1 sshd[57288]: Accepted keyboard-interactive/pam for evk from 85.xxx.xx.76 port 59337 ssh2
Aug 21 20:53:20 svr1 su: BAD SU evk to root on /dev/pts/0
Aug 21 20:53:28 svr1 su: evk to root on /dev/pts/0
Aug 22 09:21:48 svr1 sshd[59591]: Accepted keyboard-interactive/pam for evk from 192.168.2.11 port 63517 ssh2
Aug 22 09:21:56 svr1 su: evk to root on /dev/pts/0
Aug 25 17:07:23 svr1 sshd[72612]: Accepted keyboard-interactive/pam for evk from 192.168.2.11 port 63609 ssh2
Aug 25 17:07:33 svr1 su: evk to root on /dev/pts/0
Как видите, periodic daily вытащил эти строки в отчёт из лога за прошлый год. Это баг или фича такая? :-D
Что же, немало шороха у нас в отделе наделала эта ситуация. Оказывается бывает и такое. Всем огромнейшее спасибо за помощь и участие! Больше не буду доверять этим отчётам, проще самому написать скрипт мониторинга и уже получать всё что нужно.
Не знаю кто писал мою жизнь, но чувствую я себя бета-тестером...

snorlov
подполковник
Сообщения: 3929
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

Re: Поиск последствий взлома. Пожалуйста помогите!

Непрочитанное сообщение snorlov » 2012-08-23 18:59:02

Мне однажды пришлось иметь доступ в офис через п**у, т.е. в один офис лезть через два других, т.е. из первого офиса по ipsec лезть на комп в втором, с него лезть на другой комп в этом офисе, после чего на этом другом компе поднимать впн, напрямую не получалось, после поднятии впн этот комп становился недоступен, менялся dg, и уже потом лезть на комп в 3-ем офисе. Через некоторое время просматривая логи в 3-ем офисе, очень озадаченно их изучал.... :unknown:

FiL
ст. лейтенант
Сообщения: 1375
Зарегистрирован: 2010-02-05 0:21:40

Re: Поиск последствий взлома. Пожалуйста помогите!

Непрочитанное сообщение FiL » 2012-08-23 19:05:10

логи ротировать надо, тогда таких закидонов не будет. :)

Аватара пользователя
Evgen_pnz
рядовой
Сообщения: 46
Зарегистрирован: 2009-03-20 13:09:31
Откуда: Penza
Контактная информация:

Re: Поиск последствий взлома. Пожалуйста помогите!

Непрочитанное сообщение Evgen_pnz » 2012-08-23 20:05:32

FiL писал(а):логи ротировать надо, тогда таких закидонов не будет. :)
да это понятно, раньше загонов не было. Под БД, почту, и логи апача и nginx'а подмонтированы несколько разделов с схд, всего порядка 3 терабайт на БД + 500 гигов логи. У нас целая стойка с 3 сторейджами в каждом 16 x 300GB SAS2(15000rpm) RAID 6
12 терабай позволяет немного не заботится о переполнении логов :smile:
С системными чуть сложнее, они хранятся на том же серваке где и система в родном /var

А так конечно есть ротация логов средствами newsyslog, но лимит auth.log 100 КБ, а мы за полтора года и 50 КБ не набрали :-D

Но всё равно спасибо, теперь задумаюсь над этим вопросом ;-)
Не знаю кто писал мою жизнь, но чувствую я себя бета-тестером...