Re: Skript pro kontrolu napadení operací Windigo
Pavel Kankovsky
peak na argo.troja.mff.cuni.cz
Čtvrtek Březen 20 11:02:25 CET 2014
On Thu, 20 Mar 2014, Jaroslav Aster wrote:
> v prvé řadě děkuji za skript, jen mi to připadá nesystémové. Nevím, jak
> to mají jiné distribuce, ale Debian má program debsums, který
> zkontroluje zda programy v systému odpovídají souborům v balíčkách,
> podle hash.
Akorát Vám ten vetřelec nesmí změnit databázi, vůči které se to
kontroluje. V daném případě se o to přinejmenším na systémech
používajících RPM pokoušeli, byť asi ne moc sofistikovaně. Eset píše
(str. 31):
We have also seen usage of rpm commands to remove signatures from the
original OpenSSH packages (openssh-server, openssh-clients) and to
update the file hashes straight in the RPM database. This improved
stealthiness by preventing system administrators from noticing the file
modifications when issuing the usual rpm --verify openssh-servers
command. However, running rpm -qi openssh-servers would clearly
indicate that the package signatures are missing, which should be
considered suspicious.
A to nemluvím o možnosti instalace rootkitu, který změny v souborech
maskuje úplně. Kompromitovaný systém je prostě kompromitovaný systém a
snaha ho zkontrolovat zevnitř může být stejně produktivní jako snaha
vytáhnout sám sebe z bažiny za vlastní vlasy a la baron Prášil.
> Přijde mi to systémovější, než se zaměřovat na jeden druh útoku, protože
> pravidelná kontrola zjistí jakékoliv modifikace programů v systému.
> Stačí si to dát do cronu a nechat si to posílat emailem.
Z výše uvedených důvodů neplatí to "jakékoliv". Tím samozřejmě
nezpochybňuji užitečnost takového opatření, jen argumentuji, že ho nelze
považovat za naprosto dokonalé.
--
Pavel Kankovsky aka Peak / Jeremiah 9:21 \
"For death is come up into our MS Windows(tm)..." \ 21st century edition /
Další informace o konferenci Linux