LINUX.ORG.RU
ФорумAdmin

Есть такие люди — хакеры. Нехорошие это люди.


0

0

Буквально несколько слов.

Команды /bin/ls, /bin/ps, /bin/netstat, /usr/bin/find, /sbin/ifconfig
были подменены (ну, ls, ps, netstat, я думаю, объяснять не нужно --
зачем, а ifconfig, как мне объяснили, чтобы не было видно, что
интерфейс в promiscous (кажется, это слово пишется так?) mode.
Снифферит, стало быть, сеть, каналья.

Логи эти хмыри вычищают подчистую, туда и рыть не стоит.
Определял я следующим образом: говорю "/bin/netstat -ltnp".
Если RedHat (я говорю _только_ про него) >= 6.0, то у него
в стандартной поставке netstat'а ключ "p" поддерживается.
Если же netstat ругается, и именно на ключ -p -- ставлю
ящик пива против одного соленого орешка, что у вас побывал
какой-то кое-какер. Вообще-то, это довольно странно, неужели
трудно сделать обманку на этот ключ? Я бы взялся.

Неплохо бы ежедневно сканировать все подопечные машины
на предмет открытых tcp-udp портов. (программы saint, SATAN,
COPS, self-made приблудез).

Кроме того, можно запомнить длины вышеуказанных файлов
и смотреть по ним, но имейте в виду, что особо ушлые люди
умеют подгонять длину файла под нужный размерчик.

Последний совет: скопируйте куда-нибудь в укромный уголок
программы ls, ps и netstat (например в
/home/{veryordinaryuser}/text), и, в случае малейшего
повода для пробуждения паранойи запускайте их оттуда.

Разумеется, это не панацея-от-диагностики. Но все-таки...
anonymous

А я еще копирую логи на другую машину, на которой кроме syslogd -i и sshd ничего нет :) И пытаюсь спать спокойно :)
---
А кстати по syslogd сломать машинку можно ?

gdenis
()

для интереса узнайте про возможности rpm по контролю за файлами !
всякие их pgp суммы и т.д.

а ты на redhat6.0 то ставил secyrity update ? если нет - то вот

ae
()

Спасибо за ликбез.

anonymous
()

syslogd chroot крутить не из под рута бы еще -- вообще фонтан :)

anton
()

Вообще-то для контроля целостности системы есть специальные пакеты, например TripWire, возможности которых в КОНТРОЛЕ намного превосходят RPM.

anonymous
()

Есть хакерры а есть кракеры прошу непутать !
Разные это люди !!!!!!!

Aleks_IZA
()

Относительно копирования важных файлов ...

... то их лучше копировать на дискетку, а не на ту же машину,
тогда на 100% можно быть уверенным, что они чистые.
В каком-то из доков на www.cert.org этот способ назвали то ли
silver line то ли gold line :)
И это сделать сразу после установки Линукса, пока еще
к сети не подключился.

TripWire тоже надо ставить сразу, как только поставил Линукс ,
до подключения к сети. А то потом поди разберись, где истина.

anonymous
()
Ответ на: комментарий от gdenis

Логи на другую машину ...

Ткни , пожалуйста, в man
1.Знаю, что надо отредактировать syslog.conf,
там же можно указать логирование одновременно и локально и удаленно.
2.Еще один комп с syslogd -i и sshd
А что еще ?

Заранее спасибо, Sciurus.

anonymous
()

.../bin/ls, /bin/ps, /bin/netstat, /usr/bin/find, /sbin/ifconfig

Смотри /usr/src/.puta -- там подробненько лежит _чем_ тебя хрюкнули ;-)))
1. Выкинь wu-ftpd.
2. Пропатч nfslockd.

На счет вычищенных логов -- long live e2fsundelete. аминь.

lb
()

То: Sciurus
На _облегченной-тачке_ запускаешь syslogd c опцией -i .
На _стремной-тачке_ добавляешь строку в syslog.conf, типа:
authpriv.*;mail.*;local7.*;auth.*;daemon.info;kern.* @linux_s_syslogd_-i
^^^^^^^енто табы
И все :) Я еще хотел принтер матричный подключить чтоб на него сразу печатались логи, но че-то лень пока :)))
---
Ах да, но серваки все ж лучше не включать - целее будут ;))))

gdenis
()

Мля, между kern.* и @linux_s_syslogd_-i нужено пару-тройку табов

gdenis
()

а что мешает просто переустановить fileutils..rpm из дистрибутива c ключом --replasepkgs при подозрении на подмену файлов?

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.