Титла: Хакнат сървър
Публикувано от: laskov в Jul 19, 2005, 15:31
Имам съмнения за един сървър, че може да е хакнат. Какво да направя? chkrootkit не открива нищо подозрително. Slackware 9.1
Титла: Хакнат сървър
Публикувано от: CaBA в Jul 19, 2005, 15:46
Със Slackware - май нищо. Ако беше с дистрибуция, която има контролни суми на инсталираните пакети:
1. Дърпаш мрежовия кабел.
2. Зареждаш от спасителен диск.
3. Сравняваш контролните суми на ВСИЧКИ пакети.
4. Пакетите, на които контролните суми се различават, са им пипани файловете.
РЕДАКЦИЯ: Как се прави тази проверка за системи, които ползват RPM, детайлно е описано от Весо Колев в http://www.linux-bulgaria.org/webarchive/2005/Mar/33036.html
1. Дърпаш мрежовия кабел.
2. Зареждаш от спасителен диск.
3. Сравняваш контролните суми на ВСИЧКИ пакети.
4. Пакетите, на които контролните суми се различават, са им пипани файловете.
РЕДАКЦИЯ: Как се прави тази проверка за системи, които ползват RPM, детайлно е описано от Весо Колев в http://www.linux-bulgaria.org/webarchive/2005/Mar/33036.html
Титла: Хакнат сървър
Публикувано от: в Jul 19, 2005, 15:59
| Цитат (CaBA @ Юли 19 2005,16:46) |
| Със Slackware - май нищо. Ако беше с дистрибуция, която има контролни суми на инсталираните пакети: 1. Дърпаш мрежовия кабел. 2. Зареждаш от спасителен диск. 3. Сравняваш контролните суми на ВСИЧКИ пакети. 4. Пакетите, на които контролните суми се различават, са им пипани файловете. |
Slackware има контролни суми на пакетите. По интересен е върпоса как ще ги провериш на вече инсталирана система където файловете от пакетите са разхвърляни по диска?
Титла: Хакнат сървър
Публикувано от: в Jul 20, 2005, 09:31
| Цитат (CaBA @ Юли 19 2005,16:46) |
| РЕДАКЦИЯ: Как се прави тази проверка за системи, които ползват RPM, детайлно е описано от Весо Колев в http://www.linux-bulgaria.org/webarchive/2005/Mar/33036.html |
Добре хубаво. НО в описания пример се казва, че дори за конфигурационните файлове които се променят трябва да се направи пакет, който да се подпише и след това инсталира, за да може после да се проверява. Само дето понякога ми се налага да сменя само един символ в даден конфигурационнен файл и това значи да повтарям процедурата отново. Истината обаче е, че сугурната система се създава още от самото начало и ако човек има съмнения по-добре да си я направи наново. Какво като открие, че някой файл е променен? Ами базите данни!? И на тях ли ще има суми за проверка!?
Титла: Хакнат сървър
Публикувано от: toxigen в Jul 20, 2005, 09:37
Какво да ти кажа...
случвало ми се е и мога да твърдя само едно - ако сървъра е хакнат е ясно - няма такива моменти "хакнат ли е, не е ли хакнат"... за мен решението е едно - дърпам мрежовия кабел, архивирам всичко нужно и правя системата наново, като този път се старая повече.
Иначе rootkit съм откривал по много начини, зависи какъв е - кажи какво се случва на машината, за да дам идеи.
случвало ми се е и мога да твърдя само едно - ако сървъра е хакнат е ясно - няма такива моменти "хакнат ли е, не е ли хакнат"... за мен решението е едно - дърпам мрежовия кабел, архивирам всичко нужно и правя системата наново, като този път се старая повече.
Иначе rootkit съм откривал по много начини, зависи какъв е - кажи какво се случва на машината, за да дам идеи.
Титла: Хакнат сървър
Публикувано от: pink в Jul 20, 2005, 12:08
| Цитат |
| Със Slackware - май нищо. Ако беше с дистрибуция, която има контролни суми на инсталираните пакети: 1. Дърпаш мрежовия кабел. 2. Зареждаш от спасителен диск. 3. Сравняваш контролните суми на ВСИЧКИ пакети. 4. Пакетите, на които контролните суми се различават, са им пипани файловете. |
Това как ще помогне ако кракерът е сложил произволна SUID root.root програма?
Мисля, че toxigen е прав - архивиране + преинсталиране. Ако ти е интересно как/дали са те хакнали, направи си копие на оригиналния харддиск и си го разглеждай след като системата ти е чиста.
Титла: Хакнат сървър
Публикувано от: CaBA в Jul 20, 2005, 12:14
Не споря, че системата трябва да бъде архивирана и преинсталирана. Обаче от ОГРОМНО значение е да разбереш откъде е проникнал кракера, защото ако не го направиш, почти сигурно е, че пак системата ти ще бъде пробита.
Ако системата е от КРИТИЧНА ВАЖНОСТ ще го правиш и хоро ще играеш. Друг е въпросът, че ако си достатъчно хитър, ще си запишеш хеш сумите на конфигурационните файлове на непрезаписваем носител и просто ще ги сравниш.
Необходимо и достатъчно условие за да придобиеш контрол над система е едновременното изпълнение на следните две условия:
1. Да имаш достъп до обвивка.
2. Да можеш да ставаш суперпотребител.
Казвам суперпотребител, а не root, защото това са различни неща за запознатите :))
Така че вторият ти въпрос е неуместен в случая.
| Цитат |
| НО в описания пример се казва, че дори за конфигурационните файлове които се променят трябва да се направи пакет, който да се подпише и след това инсталира, за да може после да се проверява. Само дето понякога ми се налага да сменя само един символ в даден конфигурационнен файл и това значи да повтарям процедурата отново. |
Ако системата е от КРИТИЧНА ВАЖНОСТ ще го правиш и хоро ще играеш. Друг е въпросът, че ако си достатъчно хитър, ще си запишеш хеш сумите на конфигурационните файлове на непрезаписваем носител и просто ще ги сравниш.
| Цитат |
| Какво като открие, че някой файл е променен? Ами базите данни!? И на тях ли ще има суми за проверка!? |
Необходимо и достатъчно условие за да придобиеш контрол над система е едновременното изпълнение на следните две условия:
1. Да имаш достъп до обвивка.
2. Да можеш да ставаш суперпотребител.
Казвам суперпотребител, а не root, защото това са различни неща за запознатите :))
Така че вторият ти въпрос е неуместен в случая.
Титла: Хакнат сървър
Публикувано от: CaBA в Jul 20, 2005, 12:26
Някаква грешка стана и предишното ми мнение се дублира. Моля администратора да го изтрие.
Титла: Хакнат сървър
Публикувано от: mironcho в Jul 20, 2005, 12:45
| Цитат (CaBA @ Юли 20 2005,13:26) |
| Някаква грешка стана и предишното ми мнение се дублира. Моля администратора да го изтрие. |
Сторено! Как успя?
Титла: Хакнат сървър
Публикувано от: pink в Jul 20, 2005, 14:18
Нека само да спомена, че инсталирането на подходяща IDS лесно ще отговори на въпорса "има ли кракер или не".
Титла: Хакнат сървър
Публикувано от: laskov в Jul 20, 2005, 17:02
Какво е IDS ? А какво би станало ако
| Цитат |
| upgradepkg --reinstall ... |
Титла: Хакнат сървър
Публикувано от: 57r1k3 в Jul 20, 2005, 18:12
Титла: Хакнат сървър
Публикувано от: phantomlord в Jul 22, 2005, 21:53
Тук можеш да разбереш дали имаш отворени портове на машината си. Първо избираш Proceed, после All Service ports и първите ти 1055 порта ще бъдат сканирани. Ако имаш отворени - лоша работа.
Аз имам файъруалл и всичките ми портове са стелтнати. Това е най-добрия вариант. Сложи си и ти, ако нямаш.
Аз имам файъруалл и всичките ми портове са стелтнати. Това е най-добрия вариант. Сложи си и ти, ако нямаш.