ochrana proti hackerum...

Pavel Kankovsky peak na argo.troja.mff.cuni.cz
Sobota Květen 22 00:55:40 CEST 1999 

On Fri, 21 May 1999, Milan Salajka wrote:

> dejme tomu, ze se mi nejaky hacker dostane

:%s/hacker/cracker/g :)

> na server a zmeni mi heslo na root. je moudry
> si dat do systemu nejaky backdoory ?

to rozhodne nikoli

> a naopak - hackeri, kteri proniknou
> do systemu si tam nejaky ty backdoory urcite
> vytvori... muzete me odkazat nekam, kde
> by bylo sepsano na co si dat pozor ?

na vsechno -- je sice pravda, ze "skriptova detatka" typicky nahradi
in.telnetd nebo login (pripadne provedou neco jineho, ale podobne malo
kreativniho), ovsem spolehat se na to se nevyplaci (ja bych treba jistym
konkretnim zpusobem upravil nejaky nevinny program, ktery na prvni pohled 
vubec nemuze slouzit jako vstupni brana do systemu...)

nejlepsi je system vzit, zakonzervovat pro pripadne pozdejsi zkoumani a
nainstalovat znova -- data ze zaloh (u kterych neni nabeton jiste, ze
jsou ok) nebo z napadeneho systemu neni dobre prebirat bez dukladne
prohlidky

> > Vzdyt jeden mate; rika se mu fyzicky pristup ke konzoli. Pokud po 
> > rebootu zadate v LILO promptu neco jako "linux single" ci jak se to 
> > u vas jmenuje, jste ihned root, a bez hesla. (Pravda i bez site.)
> 
> To neni tak docela pravda.
> V single rezimu se to na heslo zepta. 
> da to moznost password nebo Ctrl-D pro restart

To je celkem irelevatni, protoze kdyz mate dojem, ze nekdo sedi na
rootovi, tak je nejlepsi udelat totez, co clovek mel udelat za dob
disketoveho operacniho systemu, kdyz mel dojem, ze chytil nejakou
kybernetickou infekci -- totiz vytahnout ze skrine disketu (nebo cd) a
nabootovat z ni

> Ja mam v kernelu par patchu, ktere dovoli spustit binarku jen z
> adresare, ktery vlastni root. To mi eliminuje lokalni exploity,
> protoze user si exploit sice prelozi, ale nespusti ho. :-))
> (Samozrejme si hlidam tmp adresar.

Myslite si, ze nelze vetsinu (lokalnich) exploitu pouzit i bez vyroby
spustitelneho programu?

--Pavel Kankovsky aka Peak  [ Boycott Microsoft--http://www.vcnet.com/bms ]
"NSA GCHQ KGB CIA nuclear conspiration war weapon spy agent... Hi Echelon!"

Další informace o konferenci Linux