Человек
Сообщения: 3314
Благодарности: 104
|
Профиль
|
Отправить PM
| Цитировать
Не полная информация. Второй взломанный сервер был в "внтури" локалки или это "внешний" сервер, торщащий в Инете с фиксированным адресом.
По п.1:
1) Проверить, установлены ли все последнии критические патчи уязвимостей (у мелкомяхких есть соответствующая тулза) и, соответственно установить необходимые.
2) Глубокая проверка на уже установленные руткиты (такие тулзы тоже есть, поиск тебе поможет). Иначе без переустановки ты не можешь гарантировать отсутствие бэкдоров во взломанной системе (мониторинг дает только "пост-фактум" результаты, а тебе нужны привентивные меры).
3) Запрет на использование сервака в качестве АРМ (под аккаунтом любого уровня, а не только админа). Т.е. никакакого серфинга инета, чтения почты, аськи и т.п. непосредственно с консоли сервера (включая удаленнную).
4) Настройка МЭ на основной режим - блокировка. Необходимые для работы разрешения должы указываться дополнительно (желательно использование аппаратного МЭ, хотя бы с базовыми функциями обнаружения простейших атак).
По п.2.:
1) Даже если ты докажешь факт стороннего взлома, это снимет только уголовную ответвтвенность с организации. В случае, если та сторона заявит материальный ущерб, то органицации придется его оплатить, независимо от первоначального источника взлома. Т. е. с юридической точки зрения вы виноваты в недостаточности принимаемых мер защиты, повлекшей за собой материальные потери сторонней организации. Т. о. материальный ущерб, выплачиваемой второй стороне, вы сможете возместить только найдя главного виновника и, в свою очередь, включить ему в судебный иск материальный ущерб, выплаченный гос. учереждени. Здесь, конечно, большую роль будут играть адвокаты, прокуроры и судьи, но по юридически д. б. именно так (если считать, что абсолютно все учавствующие в судебном разбирательстве будут придерживаться закона).
2) Журналы действительно могли бы помочь, однако большая вероятность их корректировки в результате взлома. В этом случае пригодился бы задействованный пассивный аудит системы (когда системные журналы сбрасываются на некий ресурс, не доступный для редактирования с журналируемой системы).
3) Журналы могут помоч тебе только для поиска источников влома и его инициатора. В судебном разбирательстве силу имеют только логи провайдера (частично здесь играет роль установливаемой у них оборудование СОРМ). Т. ч. если тебе удасться обнаружить время и источник взлома, то останеться договориться с провайдером о предоставлении логов (по запросу суда он все равно их может редставить, но в каком объеме - ужа будет зависить от него).
4) Попробуй примерно определить возможные сроки осуществленного взлома и договориться с провайдером о поиске в его журналах подозрительной активности в твой адрес. Бесплатно, скорее всего, он этим заниматься не будет, но если есть хорошие отношения с его сотрудниками, то это может пригодиться.
|
