Привет всем!
Недавно завёл у себя дома сервер под SuSE Linux. Но опыта администрирования у меня практически нет, и мне было бы интересно узнать у знающих людей их мнение по поводу одного случая.
Мой сервер работает уже где-то около месяца, и до недавнего времени никаких серьёзных попыток взлома пока не было (если конечно я ничего не упустил
), но на днях я как-то просматривл апачевские логи, и наткулся на довольно-таки интересную вещь: примерно в одно и то же время, с разных адресов пришли HTTP-запросы к awstats.pl, с помощью которых было произведено несколько попыток установить на мою машину троян. Насколько я понял, ничего из этого не вышло, поскольку awstats работает с привилегиями пользователя wwwrun, но всё же кое-что меня беспокоит:
1. Хотя атакующий и не смог записать троян в /usr/sbin и /etc, и я убил подозрительный процесс, запущенный из /tmp, может ли быть так, что это далеко не все действия трояна, и если так, то как это проверить?
2. То, что несколько попыток было произведено в один день и с разных хостов, не является ли это признаком целенаправленных действий хакера, а не простого распространения червя?
3. Если это было целенаправленное действие, то почему для атаки была выбрана именно моя машина? Я никогда не афишировал свой сервер, на нём нет какой-либо ценной информации, и у меня нет врагов.
4. Стоит ли искать правду - обращаться к моему интернет-провайдеру, писать гневные письма владтельцам сетей, из которых были произведены атаки?
5. Как часто подобные попытки атак случаются у вас?
6. Как можно запретить CGI-скриптам доступ в сеть, сократить максимальное время жизни процесса, организовать "песочницу"? Какие программы и доки можно для этого посоветовать?
Вот такие глупые воросы.
Буду очень рад услышать ваше мнение
PS: ну конечно, перым делом я убрал дырявый awstats.pl из cgi-bin
