Есть вопросы по статье ...

Действительно ли можно избежать взлома по bind?
Вопрос именно по защите от взлома, а не по обнаружению оного, поэтому
Tripwire, rpm и утилиты из серии silver line здесь не упоминаю.
Ведь что советует автор статьи:

1.Своевременно патчиться, но ведь на взломанной машине стояла
последняя на тот момент версия bind:
"... It's running the right version of named,the one with the buffer
overflow that hasn't made bugtraq yet.
No patches are even out for it yet..."
То есть каждый новый bind уязвим ровно настолько, насколько серьезно
им еще не занимались cracker'ы.

2.Убрать ненужные сервисы, но ведь от этого нужный named не
перестает быть уязвимым. Одного уязвимого сервиса достаточно для
взлома, и уже не имеет значения, есть ли другие нужные/ненужные
сервисы.

3.Перестать использовать telnet и перейти на ssh. Опять-таки в случае
с bind это погоды не сделает, атака будет на 53 порт:
"...The traffic pattern looks like this:
attacker:port -> victim:53 UDP (shellcode)
victim:53 -> attacker:port UDP DNS format error
attacker:port -> victim:53 TCP (payload)
In exploits we have seen, the shellcode is sent by the
exploit using UDP, causing /bin/sh to be attached to the existing
socket connection on port 53/tcp. Then, the exploit sends shell
commands on 53/tcp for execution on the compromised host as the
user running the nameserver process..." (www.cert.org)

4.Portsentry. Разве это не простой детектор сканирования?
Будет ли он воспринивать атаку на 53 порт как сканирование?
Автор статьи пишет, что он еще не слышал о взломах серверов,
использующих этот детектор. Кто-нибудь может это опровергнуть?

5. В статье не был упомянут chroot, не панацея, конечно, но свести
убытки к минимуму все-таки позволяет.

Получается, что основательно защитить bind нельзя?
Остается только регулярно обновлять bind, делать chroot, внимательно
смотреть логи и ждать: пронесет не пронесет?
Если я заблуждаюсь, ткните, пожалуйста, что упущено
или не так понято. Интерес не праздный, собираюсь ставить bind,
хотелось бы уточнить, как можно укрепиться на 53 порту, кроме chroot
и PortSentry(помощь которого в этом деле пока под вопросом)
Совет выключить компьютер и жить спокойно не принимается :)))

Wbr, Sciurus.

чтобы избежать взлома bind надо не пользоваться bind ;)
http://cr.yp.to/djbdns.html

Я тут в какой-то обнаружалке атак видел проверку пакетов на содержание той или иной строки в них...
и там на определение buffer overflow было предложено проверять на '/bin/sh';
можно что-нибудь сбацать вроде того, что будет закрывать/перезапускать bind при таком пакете.
Криво, конечно, но может помочь, наверное.

Вопрос по теме: кто-нибудь может кинуть на доки на русском языке по взлому bind (чтоб самому его можно было ломануть)?
хотелосьбы поэкспериментировать на эту тему, т.к. мне это тоже актуально.

Это-же относится и к ftpd

1. По поводу проверки пакетов на /bin/sh- действительно интересно, надо будет подумать.
2. По поводу доков на русском не знаю, а вот на securityfocus думаю есть все,
но на английском :)

A vot kto proyasnit - kak rabotaiut kernel modules, kotorie pryachut files zadannogo tipa (skajem, nachnaiushiesya so slova kore kak u avtora stat'i). Esli oni rabotaiut na urovne interface s file system - to ved' oni spryachut file ot VSEGO voobshe, ego nelzya budet ni zapustit', ni prochest', t.e. on bespolezen samomu hackeru. Tak kak je oni razlichaiut, chto, naprimer komande ls info o file ne davat', a zapuskat' ego mojno?...

Mojet ya ne sovsem yasno virazilsya, togda obyasnu, kakoi' za etim prikladnoi' vopros - a nai'det li tripwire eti "sekretnie" files i direktorii, esli oni legli v direktorii, kotorie monitoriruiutsya na predmet poyavleniya chego-to novogo? Ili kernel module i ot TW files uspeshno spryachet?