Prunik hackerem?
Michal Dobes
majkl na tesnet.cz
Čtvrtek Únor 17 10:33:36 CET 2000
Michal Belicek wrote:
> zamerem odchytavat hesla. Take jsme nasli v logach stopy typu web1 open
> session as uid 0 a web2 open session as uid 0 ve 03:00 rano.
> Asi to fakt byl hacker. Okamzite jsme masinu shodili z netu a zmenili
Je to mozne.
> vsechna hesla v systemu. Ale clovek si neni nikdy jisty, co byste jeste
> radili udelat? Jak najit pripadne trojske kone?
Tripwire (nebo jakykoliv ekvivalent). Ted je na nej uz trochu pozde,
ale priste hned po nainstalovani systemu si s nim udelat soucty
vseho nemenneho, seznamy prav linku apd a poustet ho pravidelne
z nejakeho FYZICKY read only systemu. Umi zacit hulakat, pokud najde
nejakou zmenu. Cron a spol jde samozrejme obabrat, takze poustet
obcas i rucne.
Obcas nemusi byt spatne pouzivat logovani na remote syslog na masinu,
ktera nic jineho nez syslog (a pripadne ssh se zcela jinymi hesly
nez okoli) nenabizi.
Majkl (majkl na tesnet.cz)
Další informace o konferenci Linux