Мамкиных специалистов по веб безопасности треад Поднял недавно ради интереса web сервер на одной отладочной плате с arm проц-ом и выставил его в паблик через свой древний ADSL модем (с динамическим ip через DynDNS). Иногда захожу посмотреть логи апача, и что я вижу... кто то регулярно сканирует в поисках админки... Подскажи что делать в таких случаях, как защититься и вообще как понять не взломан ли уже сервер? для любопытных адрес http://dixi.dlinkddns.com и полный лог http://pastebin.com/mrgGKixc
>>130085033 (OP)бамп
>>130085117бамп
>>130085172бамп
>>130085420бамп
>>130085748бамп
>>130085033 (OP)Поздравляю, у тебя получился ханипот.
>>130085033 (OP)Оставь дыру, подожди пока ею кто-то воспользуется, наблюдай за деятельностью незадачливого хацкера, узнавай приватные схемы по хацкингу, тырь приватный софт, Profit! Лучше такое зачудить с виртуалкой на Венде с доступом по РДП и слабым паролем.
>>130087402>>130087997ну и где дыра?пока я увидел только сканирование и никакой вредоносной активности, никаких левых аккаунтов пользователей не появилось в системе
>>130089463Ну мб скрипт-кидди балуются, не сразу же взлом произойдёт.
>>130089633а как вообще понять что в системе есть посторонние кроме как глянуть /etc/passwd на предмет левых пользователей с рут правами? И как вообще понять что сервер взломан?
>>130089861Логи мониторить. В идеале — отсылать их с уязвимого сервера на удалённый syslog-сервер, чтобы хацкер не смог хвосты подчистить. Можно даже какую-нибудь IDS софтовую поставить и зоонаблюдать.
>>130090055а на какие фалЫ надо обращать внимание что бы понять что сервер взломан? как вообще это понять?