Архив метки: find

Поиск руткита на Linux сервере

Иногда случаются крайне неприятные ситуации, когда сервер заражен вредоносным ПО (трояны, руткиты и т.д.)
И возникает вопрос как это исправить. Лучше всего помогает ручное сканирование системы на подозрительные процессы и источники их появления, хотя и автоматическими системами скнирования не стоит пренебрегать.
Попробуем найти на зараженном сервере вредоносное ПО.

Сначала изолируем сервер от внешнего мира, оставив только SSH подключение. В данном случае это было требование датацентра, на которой он размещен т.к. данный сервер генерировал огромное количество трафика. Поэтому было принято решение заблокировать все подключения, кроме относительно безопасных и необходимых, чтобы разблокировали доступ к нему (крайне неудобно искать вредоносное ПО через KVM).

Для блокировки используем iptables и создадим в нем набор правил, которые запрещают все лишнее.

iptables -F
iptables -t nat -F
iptables -X
iptables -P FORWARD DROP
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT
iptables -A INPUT -j DROP
iptables -A OUTPUT -j DROP

посмотрим список подозрительных процессов (для удобного просмотра больших списков лучше еще использовать обработчик less, чтобы можно было листать список):
Читать далее Поиск руткита на Linux сервере

Изменить права только на файлы или только папки в Linux

Изменить права на папки или файлы нам поможет утилита find, которая может при нахождении соответствия выполнить команду (ключ -exec)

Изменить права только на файлы:

find /var/www -type f -exec chmod 764 {} \;

Данная команда говорит найти в /var/www все объекты, типа file (f) и выполнить для них команду chmod 764

find /var/www -type d -exec chmod 755 {} \;
То же самое, только объект папка directory (d) и права 755