Witam, obserwuję ten wątek z dość dużym zainteresowaniem i w zasadzie zastanawiam się dlaczego drodzy koledzy nie odpowiadacie na temat? Przecież pytania są bardzo sprecyzowane. Nie chcę wywoływać jakiejś "burzy w szklance wody" więc postaram się coś podpowiedzieć w odniesieniu do tychże pytań. Ad.1 Jeżeli jakieś poufne dane mogły wpaść w łapki chakiera to na policję jak najbardziej warto iść, tyle, że im najlepiej byłoby przyprowadzić kolesia ze sobą i najlepiej żeby się przyznał ;) Dane poufne to oczywiście nie zawartość stopki tylko np. baza danych klientów (np. jeśli pod witrynę był podpięty jakiś mysql). Poza tym - czy za pomocą twojego serwera mógł być przeprowadzony jakiś DoS, spamowanie itp. Oczywiście decyzja należy do ciebie, ale jej podjęcie implikuje prawidłowa analiza pytania 2. Ad 2. Zalecane, ale nie zawsze możliwe: zrób kopię 1:1 dysku i analizuj kopię. Nie zawsze możliwe (cluster?). Idealnie by było, jakbyś miał zapasowy dysk/i ze skonfigurowanym systemem, wtedy przywracasz dane z kopii przed włamem, blokujesz felerną witrynę i spokojnie zabierasz się za analizę powłamaniową na innej maszynce. Poza tym metod, tutoriali itd. jest na pęczki - hasło forensics w googlach. Ale w życiu zazwyczaj nie jest tak pięknie więc: Przede wszystkim musisz wiedzieć jakie szkody mógł zrobić włamywacz. U nas hostując strony nie jesteśmy w stanie położyć serwerów tylko dlatego, że na jakiejś wirtualce ktoś zrobił deface'a albo zincludował sobie jakiś c99shell. Dlatego wdrożyliśmy suexec'a, aby w momencie włamu przez php napastnik mógł narozrabiać tylko z uprawnieniami user'a którego witrynę przejął. Czyli - jeżeli masz więcej niż jedną witrynę działającą z uprawnieniami np. www-data:www-data to musisz przeglądnąć wszystkie pliki o właścicielu/grupie www-data. Jeżeli miałeś osobnego usera tylko na tą witrynę to prawie (PRAWIE ?) na pewno nie musisz się obawiać jakiś większych strat. Dlaczego? Prawdopodobnie (przeanalizuj logi apacha) włam przez www (jakiś skrypciarz + google + exploit z milw0rma) z remote includem, a nie przez ftp (zakładam, że ftp-user nie może logować się shellem, prawda?). Po drugie - raczej dzisiaj już nie ma takich luk, które pozwoliłyby na łatwą eskalację uprawnień z user'a na root'a. Oczywiście przeanalizuj sobie czy włamywacz mógł: użyć shell'a, wyjść z chroot'a (jeśli używasz), miał dostęp do kompilatorów (jeśli masz je zainstalowane) itd - (tripwire/aide lub find/grep/perl are your friends :) ). IMHO - nie masz się co przejmować za bardzo (?), jeśli twój serwer był skonfigurowany zgodnie "z zasadami sztuki". Po prostu zablokuj witrynę, pozmieniaj hasła, uaktualnij engine witryny (lub zostaw to klientowi) - pamiętaj, o wszystkim co jest hardcodowane w jakiś config.inc.php'ach - hasła mysql'owe, ftp'owe, pocztowe etc... Podsumowując: grsec+pax+chroot+suexec+separacja usług+mod_security+tripwire/aide+... -> to na poziomie instalacji chrootkit+logcheck+spożytkowanie logów z ww. narzędzi +np. http://www.debian.org/doc/manuals/securing-debian-howto/ch-after-compromise.en.html (thx Wojtek) -> to po włamie. reinstalacja od zera -> absolutna koniczność BTW - dobrym pomysłem jest dedykowana maszynka na syslog-server.
Jeśli wybierasz się na policję to przygotuj płytkę z logami, uważaj na znaczniki czasu! (use tar dude) Pozdrawiam sm0q
