Да лайнакс вообще рай для хакирафф. Я на прошлой работе дофига на такое насмотрелся. shv5, кстати, весьма популярная штука для построения ботнетов.

Такого анализатора убить мало - первое, что делают в таких случаях, вырубают из розетки питание (никаких там shutdown -t now)

> Такого анализатора убить мало - первое, что делают в таких случаях, вырубают из розетки питание (никаких там shutdown -t now)

...и своими собственными руками чистят все, что было интересного в памяти? хорошая идея :)

// wbr

Сколько эмоций... Советую почитать "Руководство администратора linux", там как раз есть глава про действия при обнаружении взлома...

Кстати давно интересно было. Настроен, допустим, suspend to (disk | file |swap). Думаю, что большинтсво руткитов на это не расчитаны.

Саспендим машину - и имеем полный дамп памяти. Это наверное может помочь в дальнейшем анализе..

> Кстати давно интересно было. Настроен, допустим, suspend to (disk | file |swap). Думаю, что большинтсво руткитов на это не расчитаны.
> Саспендим машину - и имеем полный дамп памяти. Это наверное может помочь в дальнейшем анализе..

как вариант :) не думаю, что большинство авторов руткитов заморачиваются на тему suspend а если и задумываются то знают, что с этим делать. не факт конечно, что копаться в полученном дампе будет так уж просто, но помочь в принципе может.

// wbr

Да, ну по крайней мере будем иметь возможность восстанавливать машину к состоянию до выключения неограниченное количество раз (клонированием всего диска - теперь уже вместе с памятью - например.

Гнидам-хакерам с ЛОРа посвещается

Вы выйграли.

Может это прозвучит высокопарно, но Бог вам судья.

Ломал явный лузир, ни модульных руткитов, ни скрытия следов, ни даже почищенных логов и хистори. Пипец, поколение пепси.

Точно, видать пионеры начитались про хацкиров.

админ сервака - лузер ещё более явный ;)

> Ломал явный лузир, ни модульных руткитов, ни скрытия следов, ни даже почищенных логов и хистори. Пипец, поколение пепси.

Ну вот и настало время когда каждый лузер может ломать не только венду, но и линакс. Вы думаете это уровень лузеров вырос? Нет это безопасность линакса упала. :)

Обыкновенный, типичный "хацкер", да еще и не особо опытный. Не интересно.

>Ну вот и настало время когда каждый лузер может ломать не только венду, но и линакс. Вы думаете это уровень лузеров вырос? Нет это безопасность линакса упала. :)

вот не надо свои проблемы с эрекцией проецировать на безопасность linux ;)

просто нормальных админов слишком мало, вот разные альтернативно одарённые и админят линукс-боксы - можно глянуть в раздел admin почитать вопросы, которые задают, и всё становится понятно..

Любые действия на _работающей_ системе могут привести к вашей идентификации, после чего троян/вирус/etc спокойно _полностью_ вытирает _все_ свои следы из памяти.

И suspend тут не поможет, ибо перехват этого события - элементарная для системного программиста задача.

> Пипец, поколение пепси.

No, they are called "scriptkiddies" ;-)

Читайте http://www.net-security.org/article.php?id=1040&p=2 для просветления:

Rule 1. An examination should never be performed on the original media.

Rule 2. A copy is made onto forensically sterile media. New media should always be used if available.

Rule 3. The copy of the evidence must be an exact, bit-by-bit copy. (Sometimes referred to as a bit-stream copy).

Rule 4. The computer and the data on it must be protected during the acquisition of the media to ensure that the data is not modified. (Use a write blocking device when possible)

Rule 5. The examination must be conducted in such a way as to prevent any modification of the evidence.

Rule 6. The chain of the custody of all evidence must be clearly maintained to provide an audit log of whom might have accessed the evidence and at what time.

Эксперты собрались, *ля.

> Эксперты собрались, *ля.

не шуми дядь по чем зря, ты вымный спору нет.

// wbr

>Ломал явный лузир, ни модульных руткитов, ни скрытия следов, ни даже почищенных логов и хистори. Пипец, поколение пепси.

Логи-то он потер как раз (см в тексте):

433 rm -rf /var/log/*

А вот bash_history забыл.

> Логи-то он потер как раз (см в тексте):
> 433 rm -rf /var/log/*
> А вот bash_history забыл.

За такое "выдирание логов" не грех и по йайцам чугуниевым ломом. Потому как "ан-делит" и вперёд. Тем более, с чукотской традицией хранить логи на отдельной FS.

>За такое "выдирание логов" не грех и по йайцам чугуниевым ломом.

+1

"Забыть" в .bash_history свой ip - это надо быть клиническим идиотом

Чуваки, я видимо ламер, но я не понял. А как он рута-то получил? Это ж самое интересное...

Автор истории по ссылке этого тоже не понял (высказал 2 предроложения в конце)

> Чуваки, я видимо ламер, но я не понял. А как он рута-то получил? Это ж самое интересное...

Небось, как обычно скрипт-кидди и получают. Скан инета несколькими эксплойтами или подбор популярных паролей. У меня пока ssh на 22-м порту висел, 20-30 попыток подбора паролей в сутки регистрировалось.

>Чуваки, я видимо ламер, но я не понял. А как он рута-то получил? Это ж самое интересное...

Возможно, он и сам не понял =)

> "Забыть" в .bash_history свой ip - это надо быть клиническим идиотом

На месте преступления преступник оставил паспорт, права и визитку... ;-)

> Такого анализатора убить мало - первое, что делают в таких случаях, вырубают из розетки питание (никаких там shutdown -t now)

И совершенно зря. :) Сначала надо снять dump памяти и пройтись по /proc/*/fd, посмотреть не осталось ли уже удаленных но еще открытых "доказательств" ...

>"Забыть" в .bash_history свой ip - это надо быть клиническим идиотом

Я бы оставил в .bash_history ip, правда не свой :)

>У меня пока ssh на 22-м порту висел, 20-30 попыток подбора паролей в сутки регистрировалось.

я видел такой фряшный сервак, с ненастроенным толком ssh, и разрешённым удалённым рутом с убогим паролем :)

>вот не надо свои проблемы с эрекцией проецировать на безопасность linux ;)

хорошо сказал ))

>20-30 попыток подбора паролей в сутки регистрировалось

ты чё на дуалапе?