Как восстановить сервер после взлома

В статье рассмотрим, как восстановить сервер после взлома злоумышленниками и какие шаги предпринять.

Как понять, что сервер оказался взломан?

Большая часть атак на удаленные серверы имеет одну цель:  подключиться к чужим мощностям и начать рассылку рекламных сообщений (спама), компьютерных вирусов и т.д. Такую активность можно заметить и самому, если зайти в консоль, где отображена статистика по трафику. Либо же, если вы устанавливали на сервер систему защиты, она уведомит вас о подозрительной активности. Важно быстро отреагировать на инцидент, например, блокировать доступ сервера к интернету до разрешения ситуации. Получить конкретные рекомендации, как восстановить удаленный сервер в конкретном случае, можно в службе технической поддержки. 

Типовые действия по восстановлению

Рекомендуется заранее составить план, по которому предполагается работать после взлома сервера. От оперативности действий системного администратора часто зависит, будут ли простои, насколько быстро и полноценно удастся восстановить работу отдела, а иногда и компании в целом. Например, первое, что интересует большинство пользователей, это как восстановить аккаунт на сервере для получения доступа к загруженной информации.

Шаг 1. Получение доступа

Для подключения нам понадобится пароль от аккаунта с правами root. Если его нет или он утрачен, за помощью можно обратиться к технической поддержке. Для облачных серверов Timeweb Cloud пароль можно восстановить по нашей инструкции.

Шаг 2. Переход на новый сервер

После того, как удалось восстановить доступ к серверу, желательно перейти на другой сервер, который ранее не подвергался взлому. Причина объяснима: в развернутой резервной копии может уже содержаться вредоносный код, и проблема возникнет вновь. Вполне достаточно в том же аккаунте развернуть новый сервер с прежними параметрами.

И сразу защитить его при помощи рекомендаций:

1.     Отключить root-доступ к удаленному хосту.
2.     Настроить аутентификацию при помощи SSH-ключей.
3.     Заменить пароли на более сложные и надежные.
4.     Создать более строгие правила брандмауэра.
5.     Настроить график архивирования резервных копий.

Еще желательно проверить, включено ли обновление программного обеспечения. Функция дает возможность оперативно закрывать «дыры», обнаруженные при эксплуатации софта, в основном, связанные именно с безопасностью. Такой подход поможет избежать повтора атаки с применением «устаревших» методик, которые, возможно, и сработали из-за открытых «лазеек» в не обновленной системе или программе.

При настройке сервера желательно сразу перепроверить версии устанавливаемых продуктов. Понятно, что иногда пользователь вынужден работать со старыми релизами. Например, если не планирует оплачивать доступ к обновлениям. Но тогда важно заранее оснастить сервер новой версией защиты от вирусов и хакерских атак. Как вариант, принять правило запускать приложения с пониженными привилегиями, а не под учеткой с правами root.

Благодаря антивирусу будет проще восстановить данные на сервере. При копировании на новый сервер программа проверит содержимое файлов на присутствие вредоносного кода. Пусть это дольше, зато хоть какая-то гарантия дальнейшей стабильной работы. Впоследствии требуется избегать от установки привилегий 777 на любые файлы, это откроет доступ записи в них для неавторизованных пользователей.

Анализ активности на сервере

Перечисленные выше действия позволят продолжить работу в штатном режиме. Теперь перейдем к анализу старой системы, чтобы попробовать понять, как злоумышленникам удалось взломать ее, и определить, нет ли тех же «дыр» на новом сервере. Если проблема связана с компьютерным вирусом, стоит начать с изучения отчета антивируса. Большая часть вредоносных программ уже имеет описание: как действуют, как проникают и т.д.

При отсутствии вирусов стоит начать с просмотра активных процессов. Пользователю достаточно восстановить соединение с сервером, набрать через консоль одну из ниже приведенных команд. Если надо открыть сетевой сокет:

lsof -i

Чтобы просмотреть список запущенных процессов:

ps -ef

Работать с большими списками сложно, поэтому можно активировать построчный вывод:

lsof -i | less
ps -ef | less

При просмотре надо сразу записывать ID всех подозрительных процессов. По ним впоследствии можно будет найти соответствующие файлы-источники на диске. Команда для этого выглядит так:

ls -al /proc/process_id/exe

Повторить ее следует для каждого зафиксированного ID. Такой подход поможет локализовать все потенциальные угрозы. Возможно, они расположены в одном каталоге, куда ранее устанавливали определенное приложение. Или созданном конкретным сотрудником. Это уже шаг к пониманию из-за чего произошел инцидент и как его предотвратить в будущем. По завершении процедуры можно продублировать поиск вручную.

Типовые места, где «скрываются» вирусы:

1.     /boot
2.     /tmp
3.     /run
4.     /root

Чтобы поиск стал полноценным, желательно включить отображение скрытых файлов:

ls -al /boot

По каждому подозрительному файлу будет полезным посмотреть логи – кто и когда скопировал их. 

Заключение

Мы рассмотрели, как восстановить работу сервера после взлома и найти причину инцидента. Если удалось найти источник заражения, желательно отказаться от подозрительного софта, заменить его на альтернативный. Аккаунт, который привел к проблеме, лучше заблокировать, а для других ужесточить политику изменения содержимого накопителя сервера. И обязательно надо настроить более частое создание резервных копий, хотя бы для наиболее ценной информации.