hacknuty server - cistenie
Jirka Kosina
jikos na jikos.cz
Neděle Březen 16 13:37:39 CET 2003
On Sun, 16 Mar 2003, Michal Truban wrote:
> Ja som minule podobnu vec riesil asi takto:
> - pohladal som v /etc/passwd uservov, co tam nemaju
> co robit, resp. maju shelly. (ono je to tazke urcit, ked na kompe je
> 700userov)
> - typicky som pohladal, (cez find) vsetky uid 0 a nake tie nevezpecne
> suboriky
> - vymazal /tmp
> - pozrel logy = pomazane
> - samozrejme som checkol, ci tam nemaju niekde bindnuty shell
> - updatol vsetky sluzby atd...
Urcit kde kdo ma nejaky backdoor je obtizne, a pokud je utocnik aspon
trosku vynalezavy, takrka nemozne.
Vezmete v uvahu napriklad moznost pres libpcap chytat packety, a pri
ziskani urcite sekvence (kterou utocnik muze vygenerovat trivialne treba
nmapem) teprve spustit nejaky bindshell. Obecne backdoory v kernelu tezko
odhalite (pravda, kernel neni problem prekompilovat...ale co kdyz mate
upravene gccko? :) )...atd.
IMHO usili, ktere vynalozite na hledani kde vsude jsou v systemu zadni
dvirka je naprosto neporovnatelne s tim, kdyz proste system preinstalujete
a hotovo. Nedokazu si predstavit situaci, ve ktere by tento postup byl,
jak Vy pisete, nemozny.
--
JiKos.
Další informace o konferenci Linux