[linux] Re: Welke stappen te nemen tegen onbetrouwbare oude root

[Cecil Westerhof]

Op vrijdag 31 dec 2010 15:54 CET schreef Daniel von Asmuth:

> Aldus schreef Cecil Westerhof op Fri, Dec 31, 2010 at 03:17:52PM +0100:
>> Ik ben door iemand benaderd waarvan de server was gekaapt door zijn
>> systeem beheerder. Ik heb door fysiek naar de server te gaan, de
>> wachtwoorden kunnen resetten. Daarnaast heb ik via 'passwd -l' en het
>
> Ik hoop dat je alle wachtwoorden hebt veranderd. (je hebt kans
> dat de beheerder het wachtwoord van de secretaresse kende).

Dat is het eerste wat ik gedaan heb. En daarnaast overbodige accounts
uitgeschakeld.


>> opnemen van /sbin/nologin in /etc/passwd de gebruikers die geen
>> toegang meer moeten hebben uitgeschakeld.
>>
>> Echter de gebruiker is bang dat er backdoors en/of rootkits zijn
>> geïnstalleerd. Hoe kan ik controleren of deze op zijn systeem staan?
>
> Ik gebruik http://www.chkrootkit.org/

Daar zal ik eens naar kijken.


>> En als ik ze vind, hoe verwijder ik ze dan?
>>
>> Zijn er nog andere zaken waar ik rekening mee moet houden?
>
> Check /etc/exports op file systems die zijn geëxporteerd met de
> no_root_squash optie.

Dat bestand is leeg.

Het lijkt er op dat de vorige systeem beheerder zijn werk niet heeft
gedaan. Het lijkt er op dat het meer dan een jaar geleden is dat er
een update heeft plaatsgevonden. Er moeten nu een 200 pakketten worden
geupdated. Echter dingen conflicteren met elkaar. Dus dat wordt een
interessant karwei.


> Veilig nieuwjaar toegewenst,

Eenzelfde wens.

-- 
Cecil Westerhof
Senior Software Engineer
LinkedIn: http://www.linkedin.com/in/cecilwesterhof