Skript pro kontrolu napadení operací Windigo

Jaroslav Aster orm na humlak.cz
Čtvrtek Březen 20 11:28:42 CET 2014 

Dobrý den,

děkuji za užitečný komentář. Máte pravdu, když modifikují databázi s
hash souborů, tak to fungovat nebude a v takovém případě ten skript,
který sem dal pan Houser bude lepší, protože si hashe bere sebou.


On Thu, 2014-03-20 at 11:02 +0100, Pavel Kankovsky wrote:
> On Thu, 20 Mar 2014, Jaroslav Aster wrote:
> 
> > v prvé řadě děkuji za skript, jen mi to připadá nesystémové. Nevím, jak 
> > to mají jiné distribuce, ale Debian má program debsums, který 
> > zkontroluje zda programy v systému odpovídají souborům v balíčkách, 
> > podle hash.
> 
> Akorát Vám ten vetřelec nesmí změnit databázi, vůči které se to 
> kontroluje. V daném případě se o to přinejmenším na systémech 
> používajících RPM pokoušeli, byť asi ne moc sofistikovaně. Eset píše 
> (str. 31):
> 
>    We have also seen usage of rpm commands to remove signatures from the
>    original OpenSSH packages (openssh-server, openssh-clients) and to
>    update the file hashes straight in the RPM database. This improved
>    stealthiness by preventing system administrators from noticing the file
>    modifications when issuing the usual rpm --verify openssh-servers
>    command. However, running rpm -qi openssh-servers would clearly
>    indicate that the package signatures are missing, which should be
>    considered suspicious.
> 
> A to nemluvím o možnosti instalace rootkitu, který změny v souborech 
> maskuje úplně. Kompromitovaný systém je prostě kompromitovaný systém a 
> snaha ho zkontrolovat zevnitř může být stejně produktivní jako snaha 
> vytáhnout sám sebe z bažiny za vlastní vlasy a la baron Prášil.
> 
> > Přijde mi to systémovější, než se zaměřovat na jeden druh útoku, protože 
> > pravidelná kontrola zjistí jakékoliv modifikace programů v systému. 
> > Stačí si to dát do cronu a nechat si to posílat emailem.
> 
> Z výše uvedených důvodů neplatí to "jakékoliv". Tím samozřejmě 
> nezpochybňuji užitečnost takového opatření, jen argumentuji, že ho nelze 
> považovat za naprosto dokonalé.
> 
> -- 
> Pavel Kankovsky aka Peak                          / Jeremiah 9:21        \
> "For death is come up into our MS Windows(tm)..." \ 21st century edition /
> _______________________________________________
> Linux mailing list
> Linux na linux.cz
> http://www.linux.cz/mailman/listinfo/linux

-- 
Jaroslav Aster <orm na humlak.cz>

Další informace o konferenci Linux