From: Umut (php@kakalak.org)
Date: Wed 11 Feb 2004 - 18:05:09 EST
Umut> Uzun ama taze taze... Ilgilenenlerin bilgisine, yardim etmek isteyenlerin ilgisine
Umut> sunulur..
rootkit ile infekte edilmis bir sunucu nasil geri alinir :)
24 saate sigmis bir basari oykusu (!) (onceki basarisizligi dusununce?!)
Oncelikle soylemeliyim ki bunu yapmanin kesin ve garantili bir metodu yok.
Sizinle ugrasan zati muhterem yaratici ve yetenekli biri ise rootkiti oldugu
gibi kurmayarak kendisinden bir seyler eklemek yoluna gidecektir.
Bu durumda yapabileceginiz fazla bir sey yok.
Oncelikle her kosulda datalariniz duzgun yedeklenmis olmali.
Ziyaretciniz cok dikkatli olmayabilir ve istemeden sisteminizdeki
bazi dosyalari silebilir. Duzenli yedekten daha guvenli bir koruyucu yoktur.
Bir kere kesinlikle oyle asiri modifiye edilmis bir sistem falan kullanmayin.
Birakin standart paketler gayet guzel calisacaktir. Eger illa performans
istiyorsaniz alirsiniz baba bi cpu, scsi bi disk azicik daha ram, tamam iste.
Ondan sonra ozgun seyler yaratmaya da calismayin. Konfigurasyon dosyalarini
herkes kafasina gore karistirsin isteselerdi /home dizinine koyarlardi.
Birakin standart kurulumda nerede olmasi isteniyosa orada olsun.
Sunucunuz kolay erisebilinecek bir yerde olsun. Mumkunse geceleri nobet
tutan bir ISP bulun. Yoksa belli bir saatten sonra arayip aramamak arasinda
vicdan azabi cekiyorsunuz. Zaten aradiginizda da karsinizdakiler eminim ki
acip acmamak arasinda vicdan azabi cekiyorlardir :) Ama bir rootkit durumunda
basina gitmekten baska yol dusunemiyorum.
Hani datalarinizin yedeklerini aldiniz ya, aslinda tum sisteminizin yedegini
alin. Ama bunu calisirken yapamazsiniz, o halde bir sekilde snapshot almaniz
gerekir. Bunun icin bir arkadasim raid-1 kullanmayi onerdi. Soyle ki:
Mevcut partitionlarinizla ayni boyutlarda partitionlar olusturuyorsunuz
farkli fiziksel diskler uzerinde. Sonra bir raid yapiyorsunuz (bkz: Software Raid
Howto icerisinde sistem calisir durumdayken kesmeden raid yapma var)
Daha sonra raid partitionlariniz healthy oldugunda hot-remove yapiyorsunuz
(fiziksel olarak disk hala makinada, sadece artik ulasilabilir degil)
Boylece o anin bir snapshotunu almis oluyorsunuz. Birden fazla hot partition
kullanabilirsiniz. Ekonomik bir metod degil, ustelik raid olusurken buyuk
capta datalar icin epey CPU gucu kaybediyorsunuz. Fikir iste :)
Neticede kotu sans sizi bir sekilde bulabilir. Bunun kacisi yoktur. Bu sans
bir zamanlar kurup sonra unuttugunuz aptal bir servis/paket yuzunden olabilecegi
gibi alenen kernelinizi eski versiyonda unutmaniz seklinde cereyan edebilir.
Her durumda kendinizi kollamaniz gerekir :)
Kotu olay gerceklestikten sonra sakin olun. Yapilacak en yanlis sey
format atayim yeniden kurayim dusuncesidir. Bu windows degil, sistem
kolayca eski haline gelebilir, ya da gelemeyebilir :)
Oncelikle kontrollu bir sekilde sisteminizi indirin, yani durdurun.
Bu andan itibaren verdiginiz hizmetlerin bir onemi yok, zira her an o
hizmetler kurtarilamayacak sekilde zarar gorebilir (or: tum mysql veritabanlariniz
silinebilir) o yuzden hizmet alanlardan duyacaginiz biraz ya da bolca sitem
sizin fazla mesai yapmanizi engelleyecektir. Bilgisayari kapattiktan sonra
hangi metodla kurtarabileceginizi dusunun:
A: Standart bir sisteminiz varsa ayni versiyondan hemen bir tane
daha kurun, data, log ve config dosyalarini temiz olduguna inandiginiz
yedeklerden yukleyin, calistirin, test edin.. Gecmis olsun.
B: Standart disi bir sisteminiz varsa yaptiginiz degisiklikleri bir jurnal
seklinde kaydetmis olmayi isteyeceksiniz. Zira hangi kutuphane, hangi
dosya, hangi binary hangi versiyondan geliyor o kadar kolay tespit edilemiyor.
Yapilacak en guzel sey sistemin snapshotlarini daha onceden almis
olmak. Oyle bir durumda almis oldugunuz snapshotu aktif hale gecirip
datalari guncellediginizde minimum kayipla atlatmis olursunuz.
Aksi halde calisan sistemin tum dosyalarini tek tek elden gecirip
hepsinden emin olmadan komple sistemden emin olamazsiniz.
Ne yaparsaniz yapin, yedek alinmamis tek bir biti bile silmeyin, degistirmeyin.
Buraya kadar geldiginizi varsayalim. Artik sisteminiz tekrar calisiyor.
Ama bir kere girildigine gore bunun tekrari ile pratik yapma firsati
vermeyin ziyaretcinize. Kullandiginiz servisleri tarayarak oncelikle
disariya bakanlari, daha sonra da iceride kullanilanlari kontrol edip
son donemde bilinen exploitlerini ve tercihen her uygulamanin sayfasindan
guncel versiyon numaralarini takip etmekte fayda var. (Bunu yapmamak
icin bugtraq tarzi bir listeye uye olup gelen giden tum e-mailleri
takip etmek yeterli olabilir) Suclu paket ya da paketi ucurup guncel
versiyonunu kurmaniz gerekli.
Programlarinizi da guncellediniz, ama acaba ziyaretciniz neler yapti.
Rootkitlerden bazilari public-key login olacak sekilde sshd koyuyorlar
ya da degisiklik yapiyorlar. Oncelikle sunucu uzerindeki tum private
keylerinizi silin, degistirin, guncelleyin. Bu zahmetli olabilir zira tum public
keyleri de bununla beraber degistirmeniz gerekecek.
Sifrelerinizi degistirin, gozden gecirin. Hatta kullanmadiginiz sifreleri
mutlaka tekrar tekrar kontrol edin. Gerekmedikce hicbir kullaniciya
shell account vermeyin. /dev/null onlarin ihtiyacini giderecektir :)
Ziyaretciniz kullanilmayan accountlara ait sifreleri degistirmis ve
kendisine donus kapisi birakmis olabilir. Gozunuzden kacmasin.
Paranoya seviyenizi arttirin. Zaten basiniza boyle birsey geldiyse
epey paranoyaklasmissinizdir. Her dakika sistemi kontrol edin bir sure.
Rastgele zamanlarda degisiklikleri takip edin. Bilinen ve kolay
degistirilen kucuk binarylerin yedekelrini tutun. Hatta google'da
buldugum bir siteye gore calisan sisteminizin kucuk bir kopyasini
readonly bir media uzerinde tutarak gerektiginde oraya chroot yapip
geriye dogru bir kurtarma mekanizmasi uygulayin.
Daha yazmak istedigim cok sey var. Ama hala tam olarak faal hale
geciremedim bazi seyleri :)
Netice olarak korunma maksatli yapilabilecek sok sey var. Ancak
bir kere belaya bulasinca yapacak fazla bir sey yok. Yaniniza 2.5 lt
cola, bolca islak mendil (hani bebek poposu modeli, guzel oluyor),
biraz abur cubur alarak kurtarmaya baslayin :)
24 saatlik tecrubeyi sicagi sicagina anlatmak istedim. Lutfen burada
yazanlari bir howto olarak algilamayin ve emin olmadan hicbirseyi
uygulamayin :)
Saygilar.
Umut
linux-sohbet listesinden cikmak ve tum listeci islemleri icin
http://liste.linux.org.tr/ adresini kullanabilirisniz.
Bu listeden cikmak icin <a href="mailto:linux-sohbet-request@liste.linux.org.tr?Subject=unsubscribe">tiklayiniz</a>