Linux bezpecnost, Internet
Tibor Pittich
Tibor.Pittich na phuture.sk
Úterý Září 8 12:33:02 CEST 1998
Dňa Tue, 08 Sep 1998 ste napísali:
>Ja vychazim z toho, ze system je evidentne hacknuty, takze nikdo nemuze
>vedet ktere binarky jsou zmenene a - to je nejdulezitejsi - dodatecne uz
>to nikdo nemuze poznat, nebot tripwire administrator asi nepouziva. Muze
>tam byt cokoliv, od zminovaneho crontabu (p. Kankovsky) pres suid shell
>az po nejhorsi externi backdoory.
uz prvotny prepoklad moze byt nespravny, vid moju predchadzajucu uvahu o tom co
sposobilo bezpecnostny konflikt.
opakujem, okrem /etc/passwd nemusi byt nic zmenene!! teda je uplne zbytocne
preinstalovavat, stacilo by sa pohrabat v logoch, skusit stat a take tie
veci... samozrejme najprv prekontrolovat spravnost zakladnych binariek...
a zistit skutocny stav... tiez si nemyslim, ze je namieste paranoia typu,
hackli nam masinu, rychlo ju odpojme a preinstalujme, ono to moze byt celkom
zabavna vec stopovat a badat kdeze to mame v systeme dieru a kto a AKO ju
vyuziva, ze ano...
>Ano, pred preinstalovanim je dobre se podivat co se tam delo, ale na
>takto ziskane informace se v zadnem pripade nespolehejte, muze vam to
>poskytnout indicie, ale take vas to muze zavest na spatnou stopu. Co se
>skutecne stalo uz nezjistite. Napriklad je velmi jednoduche podstrcit
>falesny .bash_history, kde je videt, ze jste instalovali backdoor do
>/usr/bin/cosi, zatimco skutecny backdoor je v /usr/bin/cosijineho.
>Administrator, ktery duveruje nalezenym informacim preinstaluje
>/usr/bin/cosi, neveda ze byl osalen.
administrator, ktory naleti na falosny .bash_history? NO COMMENT :-)))
ja osobne by som na tie informacie dal, opakujem po skontrolovani zakladnych
prikazov, ako top, netstat, ls, ps, prip tcpd. Ine ani nema prilis velky vyznam
"patchovat"... ak su tieto povodne, tak zrejme system nebol modifikovany
>Proto stale doporucuji preinstalovat system.
stale sa mi to zda, ako prilis prehnane urychlene riesenie, navyse co s datami
na diskoch & spol.?
--
Tibor Pittich
Email: Tibor.Pittich na phuture.sk
HomePage: http://www.phuture.sk/future
-> nachadza sa tam aj PGP public key
** piste mi v ISO-8859-2 **
-------------------------------------------------------
"Slová... slová... slová..., myslel si Moneo
"Slová sú v otázkach rozumu často zbytočné",
podotkol Leto, Božský imperátor Duny...
Další informace o konferenci Linux