Изпечатай

[laskov]

Имам съмнения за един сървър, че може да е хакнат. Какво да направя?   chkrootkit не открива нищо подозрително. Slackware 9.1

[CaBA]

Със Slackware - май нищо. Ако беше с дистрибуция, която има контролни суми на инсталираните пакети:
1. Дърпаш мрежовия кабел.
2. Зареждаш от спасителен диск.
3. Сравняваш контролните суми на ВСИЧКИ пакети.
4. Пакетите, на които контролните суми се различават, са им пипани файловете.

РЕДАКЦИЯ: Как се прави тази проверка за системи, които ползват RPM, детайлно е описано от Весо Колев в http://www.linux-bulgaria.org/webarchive/2005/Mar/33036.html

Цитат (CaBA @ Юли 19 2005,16:46)

Със Slackware - май нищо. Ако беше с дистрибуция, която има контролни суми на инсталираните пакети: 1. Дърпаш мрежовия кабел. 2. Зареждаш от спасителен диск. 3. Сравняваш контролните суми на ВСИЧКИ пакети. 4. Пакетите, на които контролните суми се различават, са им пипани файловете.

Slackware има контролни суми на пакетите. По интересен е върпоса как ще ги провериш на вече инсталирана система където файловете от пакетите са разхвърляни по диска?

Цитат (CaBA @ Юли 19 2005,16:46)

РЕДАКЦИЯ: Как се прави тази проверка за системи, които ползват RPM, детайлно е описано от Весо Колев в http://www.linux-bulgaria.org/webarchive/2005/Mar/33036.html

Добре хубаво. НО в описания пример се казва, че дори за конфигурационните файлове които се променят трябва да се направи пакет, който да се подпише и след това инсталира, за да може после да се проверява. Само дето понякога ми се налага да сменя само един символ в даден конфигурационнен файл и това значи да повтарям процедурата отново. Истината обаче е, че сугурната система се създава още от самото начало и ако човек има съмнения по-добре да си я направи наново. Какво като открие, че някой файл е променен? Ами базите данни!? И на тях ли ще има суми за проверка!?

[toxigen]

Какво да ти кажа...

случвало ми се е и мога да твърдя само едно - ако сървъра е хакнат е ясно - няма такива моменти "хакнат ли е, не е ли хакнат"... за мен решението е едно - дърпам мрежовия кабел, архивирам всичко нужно и правя системата наново, като този път се старая повече.

Иначе rootkit съм откривал по много начини, зависи какъв е - кажи какво се случва на машината, за да дам идеи.

[pink]

Цитат

Със Slackware - май нищо. Ако беше с дистрибуция, която има контролни суми на инсталираните пакети: 1. Дърпаш мрежовия кабел. 2. Зареждаш от спасителен диск. 3. Сравняваш контролните суми на ВСИЧКИ пакети. 4. Пакетите, на които контролните суми се различават, са им пипани файловете.

Това как ще помогне ако кракерът е сложил произволна SUID root.root програма?

Мисля, че toxigen е прав - архивиране + преинсталиране. Ако ти е интересно как/дали са те хакнали, направи си копие на оригиналния харддиск и си го разглеждай след като системата ти е чиста.

[CaBA]

Не споря, че системата трябва да бъде архивирана и преинсталирана. Обаче от ОГРОМНО значение е да разбереш откъде е проникнал кракера, защото ако не го направиш, почти сигурно е, че пак системата ти ще бъде пробита.

Цитат

НО в описания пример се казва, че дори за конфигурационните файлове които се променят трябва да се направи пакет, който да се подпише и след това инсталира, за да може после да се проверява. Само дето понякога ми се налага да сменя само един символ в даден конфигурационнен файл и това значи да повтарям процедурата отново.

Ако системата е от КРИТИЧНА ВАЖНОСТ ще го правиш и хоро ще играеш. Друг е въпросът, че ако си достатъчно хитър, ще си запишеш хеш сумите на конфигурационните файлове на непрезаписваем носител и просто ще ги сравниш.

Цитат

Какво като открие, че някой файл е променен? Ами базите данни!? И на тях ли ще има суми за проверка!?

Необходимо и достатъчно условие за да придобиеш контрол над система е едновременното изпълнение на следните две условия:
1. Да имаш достъп до обвивка.
2. Да можеш да ставаш суперпотребител.
Казвам суперпотребител, а не root, защото това са различни неща за запознатите :))
Така че вторият ти въпрос е неуместен в случая.

[CaBA]

Някаква грешка стана и предишното ми мнение се дублира. Моля администратора да го изтрие.

[mironcho]

Цитат (CaBA @ Юли 20 2005,13:26)

Някаква грешка стана и предишното ми мнение се дублира. Моля администратора да го изтрие.

Сторено! Как успя? '>

[pink]

Нека само да спомена, че инсталирането на подходяща IDS лесно ще отговори на въпорса "има ли кракер или не".

[laskov]

Какво е IDS ?  А какво би станало ако

Цитат

upgradepkg --reinstall ...

[57r1k3]

IDS - Intrusion Detection System

За повече инфо
http://www.google.com/

[phantomlord]

Тук можеш да разбереш дали имаш отворени портове на машината си. Първо избираш Proceed, после All Service ports и първите ти 1055 порта ще бъдат сканирани. Ако имаш отворени - лоша работа.
Аз имам файъруалл и всичките ми портове са стелтнати. Това е най-добрия вариант. Сложи си и ти, ако нямаш.