Tomsk Sysadmins Forum
Unix => Разное => Topic started by: alex on March 18, 2005, 00:15:10
-
Привет всем!
Недавно завёл у себя дома сервер под SuSE Linux. Но опыта администрирования у меня практически нет, и мне было бы интересно узнать у знающих людей их мнение по поводу одного случая.
Мой сервер работает уже где-то около месяца, и до недавнего времени никаких серьёзных попыток взлома пока не было (если конечно я ничего не упустил :D ), но на днях я как-то просматривл апачевские логи, и наткулся на довольно-таки интересную вещь: примерно в одно и то же время, с разных адресов пришли HTTP-запросы к awstats.pl, с помощью которых было произведено несколько попыток установить на мою машину троян. Насколько я понял, ничего из этого не вышло, поскольку awstats работает с привилегиями пользователя wwwrun, но всё же кое-что меня беспокоит:
1. Хотя атакующий и не смог записать троян в /usr/sbin и /etc, и я убил подозрительный процесс, запущенный из /tmp, может ли быть так, что это далеко не все действия трояна, и если так, то как это проверить?
2. То, что несколько попыток было произведено в один день и с разных хостов, не является ли это признаком целенаправленных действий хакера, а не простого распространения червя?
3. Если это было целенаправленное действие, то почему для атаки была выбрана именно моя машина? Я никогда не афишировал свой сервер, на нём нет какой-либо ценной информации, и у меня нет врагов.
4. Стоит ли искать правду - обращаться к моему интернет-провайдеру, писать гневные письма владтельцам сетей, из которых были произведены атаки?
5. Как часто подобные попытки атак случаются у вас?
6. Как можно запретить CGI-скриптам доступ в сеть, сократить максимальное время жизни процесса, организовать "песочницу"? Какие программы и доки можно для этого посоветовать?
Вот такие глупые воросы.
Буду очень рад услышать ваше мнение
PS: ну конечно, перым делом я убрал дырявый awstats.pl из cgi-bin :)
-
3. Если это было целенаправленное действие, то почему для атаки была выбрана именно моя машина? Я никогда не афишировал свой сервер, на нём нет какой-либо ценной информации, и у меня нет врагов.
врядли это могло быть сделано целенаправлено, выходя из опыта работы с серверами в Томске... если уж за "бугром" на месяц приходится десяток попыток, при том не через cgi-скрипты, а естественно php, но ничего не выходит, кроме прав юзера, под которым запущен апач... :lol:
4. Стоит ли искать правду - обращаться к моему интернет-провайдеру, писать гневные письма владтельцам сетей, из которых были произведены атаки?
искать правду стоит, ибо узнать, на какие грабли ты наступил? но обращаться нет смысла - поверь, никому ты не сдался там. да даже если рассудить более глобально - ты не являешься официально зарегистрированным ч/п, т.е. на эти атаки никто не будет обращать внимание. в суд подать так же не сможешь ни на каком основании и провайдер денег не поимеет из-за каких-то разборок, так и потерь (если учесть, что информация не пострадала (для таких дел же есть бэкап)).
так что ищите проблему в своей сис-ме! ;)