hack serveru ?
Karel Zak
zakkr na zf.jcu.cz
Úterý Červen 3 14:29:19 CEST 2003
On Tue, Jun 03, 2003 at 01:58:16PM +0200, Dalibor Straka wrote:
> On Mon, Jun 02, 2003 at 08:09:15PM +0200, mardon wrote:
> > Hello linux,
> >
> > mam problem
> > vapada to ze muj server byl napaden
> > doslo v adresari /bin ke zmene
> > login
> > netstat
> > ls
> > ps
> > shad
> >
> > muzu se nejakvratit k puvodnimu stavu
> > nejsem si zcela jista
> > provadela jsem up2date ale tohle jsem urcite neupdatovala
> > poradite mi jak se branit ???
> >
>
> Neumi RH neco jako debiani "apt-get install --reinstall jmeno_balicku"?
> Zatim vsechny rootkity, ktere jsem videl sly snadno odhalit, ze se ps
> forkuje a pocitac poslouchal na nejakem tom portiku navic.
> "strace ps 2>&1|grep fork" to jisti, jakmile neco vrati tak mate
> problem. Dale je docela sranda nastavit temto programkum v /bin a
> /usr/bin a /sbin atd. lsattr +i, teda pokud pouzivate ext2. Je to docela
> sranda sledovat nejakyho hackera napul lamera, jak se snazi to prepsat a
Ona doba trosku postoupila a modifikovat soubory je zbytecna prace,
kdyz lze modifikovat kernel... To co rikate ma smysl na systemu kde
mate jistotu, ze systemova volani delaji to co maji a tu jistotu
budete mit jen tehdy udelate-li boot z nejakeho duveryhodneho kernelu
a udelate mount duveryhodneho root filesystemu. Az pak maji smysl veci
jako je kontrala integrity (checksum) souboru. Proto ruzna udelatka
zamerena na tuto kontrolu jsou sama o sobe bez tohoto rebootu na
nic..
Ostatne uz se to zde drive debatovalo.
Karel
--
Karel Zak <zakkr na zf.jcu.cz>
http://home.zf.jcu.cz/~zakkr/
Další informace o konferenci Linux