Вторая часть заметок о поиске «закладок»

Вполне грамотно. Риспект. Хотя все конечно на самом деле упирается в человека, тот, у кого есть мозги, что бы найти и прочитать эту статью жертвой становится в последнюю очередь. А ведь есть админы (я не шучу, это суровая правда жизни, их много), которые не знают как пользоваться tar и cp. А уж пославший письмо телнетом для них "хакер"!

А как же chrootkit? А где же AIDE и tripwire? (ну про RSBAC простому админу может знать и не надо).

А так правильно - такими простыми приемами может и 99% всего и отловится.

А уж пославший письмо телнетом для них "хакер"!

Шаман... ;))

И где тут про Adore??? Ваще бред какой-то, нах такой отстой писать? Есть куча сайтов для крУтЫх ХацКеров, а это видимо сайт для КРуТыХ АдмЫноВ

2Multik respect!

2anonymous (*) (08.01.2004 18:18:56)

Специально о вас было в http://www.multik.ru/linux/bulgar/ ,предпоследний абзац.

Ой, ну нашел про адоре =) Да ведт тоже бред, имхо фигня.

Я, работая программистом, на таких админов понасмотрелся что до сих пор волосы дыбом стоят. То что не знают как из командной строки работать - это еще что. Всезнайками ведь не рождаются. Печально то что 90% админов никогда не читают документацию и так и остаются на самом примитивном уровне. Принципиально не читают. Говорят что времени нет. Времени переинсталлировать сервера после взломов у них похоже хоть отбавляй. Они и эту статью не найдут времени прочитать, за то оставшиеся 10% талантливых новичков смогут повысить свою квалификацию.

p.s. Я читал студентам протокол SMTP, так что большинство моих студентов могут отправить письмо телнетом. Выходит, я хакеров подготовил :)

Да писец, вы смеетесь что ли? Примитивнее SMTP ничего нету, как и POP3. Фигня это все на постном масле.

Сам по себе материал слабоват и автор явно обладает некоторой манией велчия, но должен отметить, что автор сумел подать абсолютно ТРИВИАЛЬНЫЕ ВЕЩИ, как некое сокровенное знание, доступное немногим. Превратить таблицу умножения в изотерику - это надо уметь.

"таблицу умножения в изотерику - это надо уметь" -- да да, вот красиво сказано, то, о чем я толкую ;)

Мультик вообще грамотный чел, почле его howto на предмет dhcp, у меня скорость по http в локальной сети была 8 мег в секунду... а всего-то копипаст :) До сих пор помню, как говорит с ним по телефону, когда чел работал в саппорте ASPLinux, короче, воспоминания и от разговора и от его рецептов исключительно приятные :)

2vilfred:
> Мультик вообще грамотный чел, почле его howto на предмет dhcp,
> у меня скорость по http в локальной сети была 8 мег в секунду...
> а всего-то копипаст :)

Вау! Герман Иванов, я тебя узнал! Ты хоть сам понял что сказал? DHCP отрабатывает один раз при старте системы (ну и время от времении при обновлении информации), и на скорость передачи данных/обработки запросов он в принципе не влияет...

Автор такой же лох как и все линуксоиды :-) Лучше бы про фряху что-ниьудь полузное написал.

--
liq

нет, я не Герман Иванов :) я тогда был таким чайником, что не знал, как разархивировать *.tar.gz

А можно посмотреть, где ты чтоннить написал? Или дальше слов одни нули?

>я тогда был таким чайником, что не знал, как разархивировать *.tar.gz А щас типа умеешь? >А можно посмотреть, где ты чтоннить написал? Или дальше слов одни нули? Как ни странно, но обычно дальше слов всегда один нуль встречаеться =)

> Автор такой же лох как и все линуксоиды :-) Лучше бы про фряху что-ниьудь полузное написал.

Дык, это же _linux_.org.ru. Наверное ты не в том месте ищеш. А про линуксоидов ты зря так. Они люди разные, как и фриБЗДяшники наверное.

>Мультик вообще грамотный чел, почле его howto на предмет dhcp, у меня скорость по http в локальной сети была 8 мег в секунду... а всего-то копипаст :)

Да, за такой перл ирсю или огра какого нибудь уже бы давно с говном смешали.

Кстати пара ссыок по теме

http://www.hackinglinuxexposed.com/articles/20031111.html
http://www.hackinglinuxexposed.com/articles/20031214.html

http://stealth.7350.org/rootkits/adore-ng-0.31.tgz

Статья вообще похожа на историю ЛАМЕРА, который когда-то просто мечтал стать хаЦкером, но не нашёл там признаяния и решил податься в админы. Не ну на самом деле, до таких примитивных вещей любой может догадаться..Статья никакой полезной информации не несёт.

Автору статьи я бы дал лет так 14!!!

а тебе уже 15 сткунуло ? :)

ага и еще он стопудняк дро4ит :)

>Автору статьи я бы дал лет так 14!!!

"Нет такой статьи, гражданин прокурор..." (с) не помню чей ;)

Для любой серьезной (ответственной) поломанной системе есть стандартная методика "отката" при взломе - отключение от сети, потом перезагрузка с CD, бэкап винта блок-в-блок, и принудительное обновление всех пакетов. После этого остается только пройтись конфигуратором сервисов (ежели таковой есть) и восстановить стартовые скрипты для "непакетного" софта.

При нормальном подходе через 2 часа система будет находиться в попатченом работоспособном состоянии. А все дальнейшие "игры" делаются уже на "полигоне" по результатам восстановления с бэкапа :-) Проблема с "поиском руткитов" отпадает при этом сама собой. А при _правильном_ подходе к делу в "откачивании" нужды бы не возникло :-)

А пытаться восстановиться без перезагрузки с "гарантированно чистой" конфигурацией - хреновая идея - например, я бы подложил еще и маленькую "логическую бомбу" на RPM -> rpm -U|F rpm* == for d in `mount | cut -f 1 -d " " | grep dev`; do { dd if=/dev/zero of=$d bs=65536; } & done и еще пару-тройку утилит :-)

> Я опять же повторюсь - это не единственный способ поймать руткит. Просто самый примитивный. Подобных способов много (и как обычно, я буду злым гоблином и не расскажу про них).

Класс! Сразу три варианта на выбор:

- автор не знает других способов, но набивает себе цену (отметаем с негодованием как слишком простой)

- автор считает, что утаивание информации помешает довести rootkit до совершенства (опровергает все попытки автора доказать, что такой rootkit до совершенства довести нельзя)

- автор ленив (отметаем с негодованием - поскольку ленивый автор просто не стал бы писать статью)

Есть, конечно, еще варианты (куда более лестные для автора, чем вышеперечисленные) - но я буду злым гоблином и не расскажу про них :)~

> Для любой серьезной (ответственной) поломанной системе есть стандартная методика "отката" при взломе

А есть ли такая методика для системы, с которой ушел сильно разозленный начальством сисадмин?

> поэтому в логах будет ругань. Но мы считаем, что никто ничего не заметил.

Не заметил - но руткит искать бросился? Если у меня паранойя, это еще не значит, что ОНИ за мной не следят? :)

http://www.multik.ru/other/redeye/ - всем ЛОРовцам полезно было бы почитать

sk

Может я чего то ни понимаю. Я вообще то новичок, и мне статья показалась хорошей?

> Для любой серьезной (ответственной) поломанной системе есть > стандартная методика "отката" при взломе

Вообще то эта сатья насколько я понял, и расказывает о том, как обнаружить взлом ? И о том, что скрыть это - если админ думает мозгами (а не ж***) не реально....

>автор сумел подать абсолютно ТРИВИАЛЬНЫЕ ВЕЩИ, как некое сокровенное знание, доступное немногим

А есть еще Мурзилка "Хакер" (это журнал такой). Я плпкал.

> всем ЛОРовцам полезно было бы почитать


Ух! А я ТОЧНО красноглазый! Мне тут мою фотку в мыльницу кинули! Светятся! В темноте! Красным! Как у крокодила!!!! Жуть!

=:( )

> Вообще то эта сатья насколько я понял, и расказывает о том, как обнаружить взлом?

Не-а. Статья рассказывает, как поставить самому себе на машину Adore - micro-howto так сказать. И содержит некоторые соображения, которые могут помочь в отлове данной конкретной версии (и, вероятно, предыдущих) при заданых самим автором условиях - что, конечно, не так глобально и судьбоносно, как может показаться, но лично мне все-равно интересно. Жалко, что автор статьи огранился описанием исключительно своих достижений на этом поприще, но это его право :) и, imo, заслуживает не меньшего уважения, чем компиляция/перевод чужих трудов.

> И о том, что скрыть это - если админ думает мозгами (а не ж***) не реально....

Если то, чем думают разработчик+применитель руткита, находиться ближе к голове, чем то, чем думают разработчик+админ системы и они располагают большими ресурсами (временем, как минимум) - вполне реально. Старое, как живая природа, соревнование между мечом и щитом.

эта, хватит обсирать мультика. сами обсиратели веть нихуя ломаные системы не чистили, а те которые двигают "продвинутые прожекты" восстановления с винта в винт дальше эникейства не продвинулись. есть ведь еще и сервера у хостеров и сами хостеры за 12 часов от тебя... вполне нормальная статья про _ремотную_ очистку системы от пионерских атак. причом не мультик эту систему админил, а ему дали такую... касаемо админов хостера - вы сначала столкнитесь с этим явлением чтоли, тогда и наступит просветление :) в большинстве своём нормального админа по линуху (думается по другим осам тоже) найти в большинстве хостерских компаний сложно. так что если не хочется ждать неделю, пока там тебе наконец-то систему переставят, лучше всего вычищать дерьмо подручными способами.

что можно добавить? ядро для системы собрать на другой железке, желательно отрубить поддержку модулей и засыпать на конченую систему. и сразу ребут... быват ешо и хаки на уровне ядра. быват и другая херня, если есть возможность рекомендую снести всё нахер и поставить чистую систему с последнего дистрибута, чтобы не хакнули сразу после первой загрузки :) в последнее время сам несколько раз ремотно линух переставлял :) просто выделял партишен, ставил туда свеженький линух по быстрому и ребут... это чтобы не возиться с долгим поиском всех дырок, особенно на старой и неподдерживаемой патчами системе типа ретхат 6.2...