To zdecydowanie nie był dobry telefon pliki z pulpitu „poznikały” a komputer po restarcie wypisuje, że „kde cannot start”. Wygldąda niedobrze, system startuje ale kde nie chce sie z jakiejś przyczny odpalić. No cóż akruta z tą maszyną to nie pierwszy problem, poprzednio pad dysku wywalił system, ale naszczęście katalog /home pozostał nietnięty więc nadpisanie nową instalacją załatwiło sprawę. A jednak gdzieś błądzi ta myśl a co jeżeli ktoś się włamał po ssh np i zrobil rm -rf /, no tak tylko, że wtedy nic by sie nie uruchamiało – c jak czapka… Tydzień minął, komp stał w bezruchu aż w końcu serwis miał chwilę coby się nim zająć. No i tragedia – bo nie dość, że ktoś usunął całego /home‘a, (dlatego ikonki z pulpitu „zniknęły”) to jeszcze wygląda na to, że maszyna przez bóg wie ile chodziła jako zombiak spamujący po necie.
No nic, trzeba sie brać do roboty. Po ostatnim włamie została pamiątka w root’owym .bash_history:
rm -rf .madalin
rm -rf madalin.tgz
Chwila guglania i już wiadomo, że nie jest dobrze, na dodatek wpis poniżej:
cd /home
ls -a
cd .directory
rm -rf *
Informuje, że po /home‘a zostało już tylko wspomnienie, a z pokoju w którym siedze dobiega tylko stek przekleństw…
No nic trzeba szukać dalej. Reinstalacja czeka, ale co można poradzić na przyszłość. Otóż firewall to podstawa nawet na domowym peciecie, jeżeli tylko ma zewnętrzne IP, wiem wiem powiecie, że to oczywiste, ale wspominam o tym, żeby polecić skrypt blockhosts, który świetnie się nadaje do ochrony przed atakami brute-force. Powiem więcej – tak mi się spodobała jego skuteczność (oczywiście sam siebie też blokuje średnio raz na tydzień:)), że zastosowałem go jako narzędzie walki z natrętnymi spamerami w serwisie fajnelinki.
Kolejne narzędzie to zapewnienie, że nikt nam nie podmienił binarek w systemie, do tego nadaje sie chkrootkit,, autorzy chyba nawet podają na stronie konfigurajcę w cronie i emaile raz na dzień ze stanem systemu (pleskowcy nie przejmujcie się jak dostaniecie pewien error).
Zotała jeszcze nabardziej paląca kwestia, co z usuniętym katalogiem domowym? Troche szperania i początkowo sytuacja wyglądała beznadziejnie, bo wszędzie piszą, że plików usuniętych z systemu plików ext3 nie da się odzyskać, ale byłem nieugiety i znalazłem człowieka z takim samym problemem jak ja, który nie poddał się, nauczył się jak działa system plików ext3 i napisał programik do odzyskiwania plików (http://www.xs4all.nl/~carlo17/howto/undelete_ext3.html). Zmniejszyłem FAT’a 32 o połowe, zainstalowałem świeżego linucha skompilowałem ext3grep’a, zapuściłem i po dwóch godzinach caluśki /home (włącznie z 650 megowy avi’kiem) były już na dysku, w katalogach tak jak je ostatnio użytkownik obrabiał, włącznie z koszem a ja moge się w końcu położyć i spać snem sprawiedliwego 