kontrola integrity serveru

Pavel Kankovsky peak na argo.troja.mff.cuni.cz
Středa Září 17 20:00:16 CEST 2008


On Wed, 17 Sep 2008, Milos Prudek wrote:

> 1) Mohl to nekdo cracknout, [...]

Mohl. Ale asi v takové situaci je relativně málo pravděpodobné, že by
průnik byl proveden přes chybu v softwaru. Ale vždycky je prostor pro
lidovou tvořivost (slabé heslo, blbá konfigurace, jakýkoli pokus o webovou
aplikaci...).

> 2) [...] softwarem, ktery spolehlive najde rootkity a cracky?

100 % spolehlivý software neexistuje, zejména je-li spouštěn v potenciálně
kompromitovaném prostředí.

Navíc nikdy není zajištěno, že hledá tu správnou věc: onehdy jsem řešil
jeden napadený systém, kde všechny možné detektory rootkitů hlásily, že je
všechno ok, a nakonec stačilo spustit obyčejné ps, protože útočník se
pouze uhnízdil pod neprivilegovaným uživatelem, což bylo pod rozlišovací
schopností těch detektorů.

> 3) [...] neni open relay to jeste neznamena ze neposila spamy [...]

Neznamená. Může to posílat něco přímo na tom počítači, nebo jak už někdo
poznamenal, může to posílat někdo, komu relay děláte.

Je třeba začít zjištěním, zda ty spamy skutečně rozesíláte. Poslechněte
si, co chodí po síti. Podívejte se do logu MTA a do jeho fronty (můžete
např. na chvilku bloknout spojení, aby se tam případně nahromadily).
Zjistěte, kde se ty dopisy berou, zda chodí přes MTA odněkud zvenku
(pokud ano, mělo by to být možno najít v logu nebo hlavičkách Received),
nebo vznikají přímo na počítači. Postupujte směrem ke zdroji a ten
neutralizujte.

-- 
Pavel Kankovsky aka Peak                          / Jeremiah 9:21        \
"For death is come up into our MS Windows(tm)..." \ 21th century edition /




Další informace o konferenci Linux