[linux] Re: Welke stappen te nemen tegen onbetrouwbare oude root

Huub Reuver h_reuver op mantell.xs4all.nl
Vr Dec 31 16:12:18 CET 2010


On Fri, Dec 31, 2010 at 03:17:52PM +0100, Cecil Westerhof wrote:
> Ik ben door iemand benaderd waarvan de server was gekaapt door zijn
> systeem beheerder. Ik heb door fysiek naar de server te gaan, de
> wachtwoorden kunnen resetten. Daarnaast heb ik via 'passwd -l' en het
> opnemen van /sbin/nologin in /etc/passwd de gebruikers die geen
> toegang meer moeten hebben uitgeschakeld.
> 
> Echter de gebruiker is bang dat er backdoors en/of rootkits zijn
> geïnstalleerd. Hoe kan ik controleren of deze op zijn systeem staan?
> En als ik ze vind, hoe verwijder ik ze dan?
> 
> Zijn er nog andere zaken waar ik rekening mee moet houden?
> 
> Het beste is natuurlijk om het hele systeem opnieuw te installeren.
> Dat gaat op termijn ook gebeuren, maar dat is nu nog geen optie.

Welk alternatief wil je horen?
Terugzetten van een backup?
Tripwire gebruiken om de binaries en data-files te controleren?

Gaat niet werken, want beide gaan ervan uit dat je erop kunt vertrouwen
dat de originele situatie waarmee je vergelijkt goed is.

Stroom onderbreken (natuurlijk achter de UPS en/of redundant voeding).
Starten vanaf een live-CD.
Backup maken (meer voor bewijslast dan om mogelijk data terug te zetten).

ALS je de server daarna weer start:
In een eigen DMZ met eigen firewall-rules.
Logfiles naar een trusted externe logserver.
Alleen normale connecties van buitenaf toelaten (web, mail?).
Alleen hoogst noodzakelijke connecties naar buiten toelaten (trusted
repositories met naam en IP-nummer).
Alle services snoeien tot meest noodzakelijke.
Misschien al tijdelijk bepaalde services overhevelen naar een trusted 
server.
Onderhoud alleen via SSH vanaf een lokale pc of via een trusted externe
SSH-server.

Maar eerlijkgezegd is de data die je naderhand overzet van de bewuste
server op z'n zachtst gezegd onbetrouwbaar en dus eigenlijk onbruikbaar.
Dus voor je een actie start: kosten/baten.
Het kost geld en het resultaat is dubieus.
Laat je klant vooral zelf die keus maken.
Versneld herinstalleren en overhevelen van functies is misschien nuttiger.

Vervangen van de passwords is een duidelijk signaal dat de oude beheerder
weinig kansen overhoudt om iets te doen. Het kan een reden zijn een 
laatste paniekactie te starten indien mogelijk.

Met vriendelijke groet,
Huub Reuver



More information about the Linux mailing list