Skript pro kontrolu napadení operací Windigo
Jaroslav Aster
orm na humlak.cz
Čtvrtek Březen 20 11:28:42 CET 2014
Dobrý den,
děkuji za užitečný komentář. Máte pravdu, když modifikují databázi s
hash souborů, tak to fungovat nebude a v takovém případě ten skript,
který sem dal pan Houser bude lepší, protože si hashe bere sebou.
On Thu, 2014-03-20 at 11:02 +0100, Pavel Kankovsky wrote:
> On Thu, 20 Mar 2014, Jaroslav Aster wrote:
>
> > v prvé řadě děkuji za skript, jen mi to připadá nesystémové. Nevím, jak
> > to mají jiné distribuce, ale Debian má program debsums, který
> > zkontroluje zda programy v systému odpovídají souborům v balíčkách,
> > podle hash.
>
> Akorát Vám ten vetřelec nesmí změnit databázi, vůči které se to
> kontroluje. V daném případě se o to přinejmenším na systémech
> používajících RPM pokoušeli, byť asi ne moc sofistikovaně. Eset píše
> (str. 31):
>
> We have also seen usage of rpm commands to remove signatures from the
> original OpenSSH packages (openssh-server, openssh-clients) and to
> update the file hashes straight in the RPM database. This improved
> stealthiness by preventing system administrators from noticing the file
> modifications when issuing the usual rpm --verify openssh-servers
> command. However, running rpm -qi openssh-servers would clearly
> indicate that the package signatures are missing, which should be
> considered suspicious.
>
> A to nemluvím o možnosti instalace rootkitu, který změny v souborech
> maskuje úplně. Kompromitovaný systém je prostě kompromitovaný systém a
> snaha ho zkontrolovat zevnitř může být stejně produktivní jako snaha
> vytáhnout sám sebe z bažiny za vlastní vlasy a la baron Prášil.
>
> > Přijde mi to systémovější, než se zaměřovat na jeden druh útoku, protože
> > pravidelná kontrola zjistí jakékoliv modifikace programů v systému.
> > Stačí si to dát do cronu a nechat si to posílat emailem.
>
> Z výše uvedených důvodů neplatí to "jakékoliv". Tím samozřejmě
> nezpochybňuji užitečnost takového opatření, jen argumentuji, že ho nelze
> považovat za naprosto dokonalé.
>
> --
> Pavel Kankovsky aka Peak / Jeremiah 9:21 \
> "For death is come up into our MS Windows(tm)..." \ 21st century edition /
> _______________________________________________
> Linux mailing list
> Linux na linux.cz
> http://www.linux.cz/mailman/listinfo/linux
--
Jaroslav Aster <orm na humlak.cz>
Další informace o konferenci Linux