Комментарии / Профиль asilin / Хабр

Andrej Silin@asilin

Системный администратор

asilin 21 дек 2016 в 17:15

Спасибо, очень хороший совет на будущее. В тот момент, я об этом не подумал. Однако, на том сервере, Apache использовался исключительно как фронтальный диспетчер (через ProxyPass) на инстанции Tomcat.

Опыт работы со взломанным сервером

asilin 21 дек 2016 в 14:02

Вы правы. Но, во первых, политика iptables готовилась на скорую руку. Во вторых, сервер был забанен за исходящий трафик, а я боялся, как заметил xforce, не найденных запакованных программ, способных возобновить атаку.

Опыт работы со взломанным сервером

asilin 21 дек 2016 в 13:53

Я бы сказал охапку ключей, как например здесь. Но в действительности, все обходятся одним ключом, просто делая:

~ $ ssh-keygen -t rsa
~ $ cat .ssh/id_rsa.pub | ssh artyom@prod.mycompany.com  "cat >> .ssh/authorized_keys"
~ $ cat .ssh/id_rsa.pub | ssh artyom@test.mycompany.com  "cat >> .ssh/authorized_keys"
~ $ cat .ssh/id_rsa.pub | ssh artyom@docs.mycompany.com "cat >> .ssh/authorized_keys"

Опыт работы со взломанным сервером

asilin 21 дек 2016 в 12:53

Было подозрение, что использовался приватный ключ одного из сотрудников и я попросил всех генерировать новые пары приватный/публичный ключ.

Опыт работы со взломанным сервером

asilin 21 дек 2016 в 12:39

К сожалению, нет. Но я решил поискать уроки кибер-безопасности для повышения квалификации.