From: Can Erkin Acar (can.acar@pro-g.com.tr)
Date: Sun 25 Apr 2004 - 07:44:27 EEST
Umut wrote:
> Bu da devami....
>
>
> Umut> Uzun ama taze taze... Ilgilenenlerin bilgisine, yardim etmek isteyenlerin ilgisine
> Umut> sunulur..
>
> rootkit ile infekte edilmis bir sunucu nasil geri alinir :)
genelde guzel bir yazi, elinize saglik, ama daha kesin belirtmek adina:
aslinda geri alinmaz!
Mumkunse olay sonrasi inceleme icin tum diskin bir imaji
(dd ile) alinir. (Eger adli bir inceleme/kanit gerekiyorsa orijinal
diske/sunucuya hic dokunmamak, fisini cekip profesyonel yardim
istemek en iyisi).
Ayrica, sunucuda tutulan verilerin icerigi ve hassasiyetine (orn.
kredi karti numaralari, ozel musteri bilgileri) bagli olarak ilgili
yerlere (yonetim, musteriler, bankalar) haber verilmelidir. En iyisi
bu durumlar icin onceden bir politika olusturup bunu devreye sokmaktir.
Sifirdan temiz bir kurulum yapilir, butun guncellemeler yuklenir
(ozellikle birtakim isletim sistemlerini guncellemeleri yuklemeden
tekrar internet'e baglamak, amac guncelleme yapmak bile olsa
cok tehlikelidir).
yedeklerden dosyalar geri yuklenir (yedekleriniz var di mi)
geri yukleme sirasinda crontab dosyalari, ssh host keyler,
kullanicilarin ev dizinlerindekiler de dahil olmak uzere cgi
programlari, php scriptleri gibi web uzerinden calistirilabilir
icerikler ve diger alternatif erisim yontemleri kontrol edilir,
daha once farkina varmadiginiz bir backdoor yedeklerinize de
bulasmis olabilir (paranoyada sInIr yoktur).
Gereksiz servislerin kapali oldugundan emin olunur, genel kullanima
acik olmayan birtakim takim servisler ise (orn. ssh) sadece belirli
adreslere acilmalidir. Ayrica sistemi gozetim altinda tutmak,
ag trafigini izleyerek anormal davranislari incelemek yararlidir.
Iyi Calismalar
Can
Not: Aslinda, bu prosedurun, son zamanlardaki viruslerin ozellikleri
goz onune alindiginda, Windows kullanan pek cok bilgisayara
haftada bir uygulanmasi gerekebilir ;)