English | Vietnamese
 

banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register   [Login] Loginhttp  | https  ]
 
Forum Index Thảo luận bảo mật Xử lý server sau khi bị hack  XML
  [Question]   Xử lý server sau khi bị hack 19/07/2013 19:38:26 (+0700) | #1 | 277598
anhtuanvo
Member
[Minus]    0    [Plus]
Joined: 07/06/2009 03:12:32
Messages: 12
Offline
[Profile] [PM]
Hiện tại em đang cầm 1 con Centos của công ty, chạy khoảng 10 website, có 3 người có quyền root.
2-3 ngày nay thì xuất hiện tình trạng một số trang trên server bị xoá vài thư mục. Em nghĩ là trên server đã có 1 website nào đó bị up shell.

Em check trong audit.log thì có mấy dòng sau :

type=AVC msg=audit(1374222841.230:203359): avc: denied { getattr } for pid=17608 comm="httpd" path="/home/username/public_html/includes/libs" dev=sda3 ino=23331130 scontext=unconfined_u:system_r:httpd_t:s0 tcontext=unconfined_u:object_r:user_home_t:s0 tclass=dir 


trong đó /home/username/public_html/includes/libs chính là thư mục bị xoá.

Tuy nhiên thì em hiện không biết làm thế nào để tìm ra ai đã xoá & thay đổi nội dung các thư mục trên website & cấu hình lại server như thế nào để đảm bảo an toàn.

Nhờ mọi người chỉ dẫn ạ,
[Up] [Print Copy]
  [Question]   Xử lý server sau khi bị hack 23/07/2013 21:50:51 (+0700) | #2 | 277677
[Avatar]
 quanta
Moderator
Joined: 28/07/2006 14:44:21
Messages: 7265
Location: $ locate `whoami`
Offline
[Profile] [PM]

anhtuanvo wrote:

Em check trong audit.log thì có mấy dòng sau :

type=AVC msg=audit(1374222841.230:203359): avc: denied { getattr } for pid=17608 comm="httpd" path="/home/username/public_html/includes/libs" dev=sda3 ino=23331130 scontext=unconfined_u:system_r:httpd_t:s0 tcontext=unconfined_u:object_r:user_home_t:s0 tclass=dir 

trong đó /home/username/public_html/includes/libs chính là thư mục bị xoá.
 

Đoạn log trên là của SELinux. Nó cho biết rằng Apache bị denied khi truy cập đến `/home/username/public_html/includes/libs`, không liên quan gì đến việc thư mục kia bị xoá cả.

anhtuanvo wrote:

Tuy nhiên thì em hiện không biết làm thế nào để tìm ra ai đã xoá & thay đổi nội dung các thư mục trên website & cấu hình lại server như thế nào để đảm bảo an toàn.
 

Nếu bạn chưa chuẩn bị trước thì chắc là không có cách nào tìm ra ai đã xoá đâu. Giờ bạn thử dùng `inotify`, `incron`, hoặc `audit` để giám sát toàn bộ thư mục `public_html`, khi nào có một thư mục con bị xoá, sửa thì vào kiểm tra lại xem có đúng là apache thực hiện không.
Let's build on a great foundation!
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|