Nyt on piru merrassa palvelimella

[Lassi]

Tervehdys

Minä en siis tiedä Linuxista oikein mitään 

En ole tänne paljon kirjoitellut. Paljon lukenut kylläkin. Nyt tuli sellainen arkaluonteinen juttu eräälle palvelimelle, että en kyllä ala sitä omin voimin ratkaisemaan. Kerron tilanteen:

PERUSASIAT
Minulla on kaksi omaa Ubuntu -serveriä netissä, pojallani yksi. Annamme niiltä tilaa ja palveluita valtakunnan nuorille harrastajille sekä sijoitamme niille myös harrastajien omia domainia veloituksetta.
Pari vuotta on toimininut hyvin, mutta nyt mun verkossa oleva Ubuntu -server kieltäytyykin yhteistyöstä. Nimitän sitä Armottomat -palvelimeksi.
Vain yksi erittäin luotettava henkilöö tietää rootin salasanan. Muistetaan, nyt, että kyse on palvelinjutuista.
Vielä viime viikolla toimi Pytty sekä WinSCP3 moitteettomasta, mutta nyt en enää pääse alkuperäisillä tunnuksilla sisään
FTP toimii kyll ja palvelimella olevat www-sivutkin, tietokannat jne.

Olen käynnistänyt järjestelmän muutaman kerran uudelleen. Uptimet ovat nyt 99% luokkaa, muuten 100. Ei auta. Joku Kernel FATAL ERRORS tulee heti alkuun. Domainit nousevat kyllä.
Sen verran vielä, että viime viikolla päivitin palvelinohjelman. Sen alusta on Debian, mutta on ne päivitykset aikaisemminkin toimineet Ubuntulle. Kysyy autentikointia

Kysynkin
Miten voin palauttaa asiakas, ja omia tietojani menettämättä datat ilman täydellistä uudelleen asennusta. Voin avusta pikkaisen, ihan pikkaisen maksaakin, tai antaa palvelimia muuhunkin käyttöön, mutta ei jakelujuttuihin.

Sähköpostia voi laitella suoraakin  jp@jokilaakso.com

[Tuplanolla]

Vielä viime viikolla toimi Pytty sekä WinSCP3 moitteettomasta, mutta nyt en enää pääse alkuperäisillä tunnuksilla sisään
...
Kysyy autentikointia

Pääsetkö fyysisesti käsiksi palvelimeen?
Voisit kirjautua paikallisesti sisään, ottaa tiedot talteen ja sitten alkaa selvittämään tuota SSH-onkelmaa.

[Lassi]

Pääsen toki. Tuolla konehuoneessa molemmat ovat. Ei vaan hyväksy mua. Joku  on sittenkin päässyt murtautumaan sisään. Ei olisi pitänyt olla mahdollista.

[Tuplanolla]

Pääsen toki. Tuolla konehuoneessa molemmat ovat. Ei vaan hyväksy mua. Joku  on sittenkin päässyt murtautumaan sisään. Ei olisi pitänyt olla mahdollista.

Et pääse paikallisestikaan sisään?

Tietysti voi aina ottaa kovalevyn ja siirtää toiseen koneeseen. Ellei ole kryptattu tai jotain.

[MikkoJP]

Pääsen toki. Tuolla konehuoneessa molemmat ovat. Ei vaan hyväksy mua. Joku  on sittenkin päässyt murtautumaan sisään. Ei olisi pitänyt olla mahdollista. 

Kone irti heti netistä (älä pyöritä zombieta, siinä voi olla nyt jo mitä vain laitonta aineistoa jakavia palvelimia pyörimiässä), varmuuskopiointi tiedostoista (vaikka elo-cd:n avulla) ja uusi asennus olisi nyt poikaa. Uudet salasanat käyttöön, palomuuri pystyyn jne. Ja pitäisi keksiä, mikä meni viimeksi vikaan, ettei konetta kaapata uudestaan.

[Lassi]

Aika hankalaa, sillä tuolla palvelimella on usean yritysasakkaani, kuin myös teidänkin www-sivustot. Eli en nyt pysty ottamaan varmuskopioita. Ja vaikka pystyisinkin niin MySQL tietokannat menevät uusiksi. Joku muu konsti pitää löytyä, että voin murtautua mun omalle palvelimelle. Kaks muuta ovat ihan OK.

J-P

EDIT: Maksan toki kohtullisesti sille, jonka neuvot auttavat tilanteessa

[juyli]

Joku  on sittenkin päässyt murtautumaan sisään. Ei olisi pitänyt olla mahdollista.

Ehkäpä hätäilet suotta. Jos kunnon kräkkeri olisi päässyt koneelle, hävittäisi hän jälkensä hyödyntääkseen konetta.
Hämmästelenpä ihan muutenkin sitä, ettei palvelimesi varmuuskopioinnista ole asianmukaisesti hoidettu. Ei ole oikein kunniaksi ylläpidolle.

Jos koneelle oikeasti on murtauduttu, on uudelleenasennus ainoa todellinen vaihtoehto.

[Lassi]

Kas kun mun palvelimet ovat valtakunnan harrastajien käytössä, niin vastuu ei oleminun. Maksan ainostaan linjamaksut ja säkhöt, tekniikan.
En ylläpitöa. Siirränkin kaikki tiedot tuolta www.armottomat.com toiselle palvelimelleni, joka on paremmin suojattu.
Maksullisien domainien, siis joita ite ten, niin tietenkin kaikki on myös omalla työkonellani

J-P, alias Lassi

[ilkkak]

Aika hankalaa, sillä tuolla palvelimella on usean yritysasakkaani, kuin myös teidänkin www-sivustot. Eli en nyt pysty ottamaan varmuskopioita. Ja vaikka pystyisinkin niin MySQL tietokannat menevät uusiksi. Joku muu konsti pitää löytyä, että voin murtautua mun omalle palvelimelle. Kaks muuta ovat ihan OK.

J-P

EDIT: Maksan toki kohtullisesti sille, jonka neuvot auttavat tilanteessa

Ilmoitus asiakkaille käyttökatkosta
nettipiuha irti
boottaus knoppixilla tms. ja mount / read/write
pääkäyttäjän salasana tyhjäksi
käynnistys
pääkäyttäjän salasanan asetus
nettipiuha kiinni

sitten varsinainen korjaus


Ilmoitus asiakkaille käyttökatkosta
nettipiuha irti
Varmuuskopiot /home ja  /var/lib/mysql ja kaikki muu tarvittava (var/www)
Uusi asennus ehdottomasti jos epäilet murtoa
(luo nyt omat levyosiot /home:lle ja kaikille tärkeille tietokannoille esim.  /var/lib/mysql)
palauta varmuuskopiot, käyttäjätunnukset  ja aseta oikeudet
Asenna tarvittavat palvelut jne
nettipiuha kiinni ja korjaamaan asennuksessa tehtyjä virheitä.

Jos tästä oli apua, niin  lasku omantunnon mukaan tämän foorumin ylläpitäjälle.

[t3r0]

IlkkaK Kirjoitti hyviä ohjeita... ensimmäisenä todellakin ilmoitus asiakkaille ja vaikka ensiyönä teet tuon, niin siitä on mahdollisimman vähän haittaa asiakkaillesi.. vielä tuohon /var/lib/mysql :n kopiointiin niin jos tuolla tavalla teet mysql varmuuskopioit niin voi kyllä sanoa että kaivaa verta nenästään.. on mahdollista että ne toimivat mutta mutta...  käytä ennenmmin mysqldump -työkalua..


Lassi, Sanoit ensimmäisessä viestissäsi, että päivitit "palvelinohjelman" tarkennatko tätä vähän.. tarkoitatko jotain erillistä palvelimenhallinta ohjelmistoa joka on tehty ja tuettu debianissa ja käytät sitä tuotantokäytössä ubuntun päällä?

[ilkkak]

vielä tuohon /var/lib/mysql :n kopiointiin niin jos tuolla tavalla teet mysql varmuuskopioit niin voi kyllä sanoa että kaivaa verta nenästään.. on mahdollista että ne toimivat mutta mutta...  käytä ennenmmin mysqldump -työkalua..

Totta - unohtui kokonaan. Hyvä huom.

[mgronber]

Jos koneelle oikeasti on murtauduttu, on uudelleenasennus ainoa todellinen vaihtoehto.

Lainasin tämän pelkästään alleviivatakseni asian tärkeyttä. Jos koneelle on murtauduttu niin uudelleenasennus on todellakin ainoa vaihtoehto. Tätä ennen tietysti kopioidaan tärkeät tiedot talteen (jos varmuuskopiot puuttuvat).

[Lassi]

Niin. Putosin pois, ja eräs viestini tähän liittyen on toisella alueella. Josko mode vois sen siirtää tänne.