From mboxrd@z Thu Jan  1 00:00:00 1970
Return-Path: <mike@fly.osdn.org.ua>
X-Spam-Checker-Version: SpamAssassin 3.2.4 (2008-01-01) on sa.int.altlinux.org
X-Spam-Level: 
X-Spam-Status: No, score=-1.7 required=5.0 tests=AWL,BAYES_00 autolearn=ham
	version=3.2.4
Date: Fri, 15 Aug 2008 15:03:43 +0300
From: Michael Shigorin <mike@osdn.org.ua>
To: community@lists.altlinux.org
Message-ID: <20080815120343.GG15514@osdn.org.ua>
Mail-Followup-To: community@lists.altlinux.org
References: <48A51E16.8090405@nevod.ru>
	<20080815111324.6557ffc8@v3405.naf.net.ru>
Mime-Version: 1.0
Content-Type: text/plain; charset=koi8-r
Content-Disposition: inline
Content-Transfer-Encoding: 8bit
In-Reply-To: <20080815111324.6557ffc8@v3405.naf.net.ru>
User-Agent: Mutt/1.4.2.1i
Subject: Re: [Comm] =?koi8-r?b?+sHSwdbFzsnFICDexdLXxc0gcHNjYW4yIChEZWxsZXMp?=
	=?koi8-r?b?IEFMVExpbnV4IE1hc3RlciAtIM3F1M/E2SDMxd7FzsnRIMkg2sHb?=
	=?koi8-r?b?ydTZ?=
X-BeenThere: community@lists.altlinux.org
X-Mailman-Version: 2.1.10b3
Precedence: list
Reply-To: shigorin@gmail.com, ALT Linux Community general discussions
	<community@lists.altlinux.org>
List-Id: ALT Linux Community general discussions <community.lists.altlinux.org>
List-Unsubscribe: <https://lists.altlinux.org/mailman/listinfo/community>,
	<mailto:community-request@lists.altlinux.org?subject=unsubscribe>
List-Archive: <http://lists.altlinux.org/pipermail/community>
List-Post: <mailto:community@lists.altlinux.org>
List-Help: <mailto:community-request@lists.altlinux.org?subject=help>
List-Subscribe: <https://lists.altlinux.org/mailman/listinfo/community>,
	<mailto:community-request@lists.altlinux.org?subject=subscribe>
X-List-Received-Date: Fri, 15 Aug 2008 12:03:47 -0000
Archived-At: <http://lore.altlinux.org/community/20080815120343.GG15514@osdn.org.ua/>
List-Archive: <http://lore.altlinux.org/community/>
List-Post: <mailto:mandrake-russian@linuxteam.iplabs.ru>

On Fri, Aug 15, 2008 at 11:13:24AM +0400, Nikolay A. Fetisov wrote:
> В целом:
> - проверить пароли пользователей. Особенно если сканер
> запускается от какого-то одного аккаунта. Убрать доступ по SSH
> для всех пользователей, которым он не нужен;

ps auxww | grep как_его_зовут
kill -STOP обнаруженный_pid
cd /proc/$PID/
ls -l exe cwd fd/

> - проверить содержимое файлов crontab и at на наличие закладок;

У того пользователя, от которого запущен процесс; если это root,
то требуется бэкап данных и конфигурации, установка системы с
нуля и восстановление данных (конфигурации -- не tar xf, а только
проверяя глазами).

> - если что-то доставлялось в систему не из пакетов - проверить
> отдельно и особо. Если система используется как веб-сервер -
> проверить установленные веб-приложения на наличие дыр.

На будущее рекомендуется завести привычку пользоваться OpenVZ,
даже если контейнер один.  При этом доступ к HN ограничивать 
малым списком IP.

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/