hack serveru ?

[Dalibor Straka]

On Tue, Jun 03, 2003 at 02:34:23PM +0200, Jirka Kosina wrote:
> Spolehat na to, ze zrovna ke mne se poboural nejaky script kiddie h4x0r a
> tudiz staci preinstalovat vsechny balicky je ponekud naivni.
> 
A kdo rika, ze se spoleham? Mam mezi adminy mnoho pratel a casto od nich
slysim, ze se jim nekdo dostal na server. 95% utoku jsou lamerske
rootkity a 95% utoku jen zprovozni warezacke ftp na divnem portu.
Zbyvajicich 5% jsou skutecni umelci, kteri napriklad umi i assembler
architektury RS/6000 a znaji nezne dirky v OS AIX. Takove hackovani neni
zabava. To je prace.

> Rootkit muze byt schovany vsude - v kernelu, v domovskych adresarich
> uzivatelu, v /dev, ... topreinstalace balicku nevyresi.
> 

Ano, ale nejsem blb a na serverech prave z tohoto duvodu nemam modularni
kernel. Utocnik bez rebootu novy kernel nenahodi a o rebootu se snadno
presvedcim 10ti spolehlivymi zpusoby. Pravdou je, ze jsem slysel
jak utocnik prepsal kus pameti beziciho nemodularniho kernelu. Ale to je
jedna pani povidala. Muzete nekdo potvrdit/vyvratit?

> Uz jsem to v teto konferenci napsal hodnekrat, ale radeji to napisu znova
> - kdyz uz je pocitac hacknut, nic jineho nez reinstalace cisteho systemu,
> tripwire, security update, zmeny hesel + zjisteni kudy se tam utocnik
> dostal (aby to nebyla nejaka chyba v uzivatelskem php skriptu, skrz kterou
> se tam ten kiddie dostane hned po reinstalaci znova) neni proste vhodne.
> 

Naprosto souhlasim. Byl-li pocitac napaden je treba jej odpojit od site,
smaznout, nainstalovat a updateovat pripadne baliky uz po siti.

-- Dalibor Straka