Личный блог Suvan`a.

Работая и играя с Linux... И что из этого иногда получается.

Восстановление после взлома

Рубрика: Безопасность -> Профилактика
Метки: |
Воскресенье, 28 августа 2011 г.
Просмотров: 7986
Подписаться на комментарии по RSS

     Даже если вы следовали всем рекомендациям, приведенным выше, никто не может гарантировать 100%-ю безопасность вашей системы, поэтому психологически нужно быть готовым, что вашу систему можно взломать. Если же это случилось, нужно подумать, как вы будете восстанавливать систему. Причем лучше подумать заранее, чем потом, когда это уже случилось.

     Обнаружение нарушения безопасности

     Огромное количество взломов системы остается незамеченным администраторами долгое время - от нескольких дней до нескольких месяцев или даже лет. Если вы обнаружили, что ваша система взломана, то будьте уверены - она была взломана задолго до того, как вы это обнаружили. Мало просто обнаружить, что система взломана, нужно еще выявить и устранить «дыру» в системе безопасности. Но не думайте, что это простая задача.

     Хотя знания среднего крекера можно с натяжкой считать умеренными, он может использовать утилиты, скрывающие его присутствие, написанные более образованными крекерами. Зачастую знания опытного крекера (того, кто пишет подобные программы), превышают знания среднего администратора.

     Самое первое, что нужно сделать - это отключить вашу машину от сети (мы подразумеваем, что ваша система была взломана именно по сети, а не локальным пользователем, у которого есть физический доступ к машине). После этого в спокойной обстановке (если ее можно назвать таковой, когда за спиной стоят десятка два пользователей с одним вопросом: «Когда будет работать сервер?») нужно проанализировать ваши протоколы. Да, крекер может модифицировать протоколы, но он этого не сделает, если вы следовали приведенным в книге рекомендациям и установили одну из ACL (хотя быту же LIDS).


     Вы обнаружили «дыру». Что делать дальше? Если «дырой» оказалась пользовательская учетная запись или демон, запущенный от имени непривилегированного пользователя, значит, злоумышленник пока еще не получил права root. В этом случае поможет отключение учетной записи или патчинг демона. Хотя, конечно, трудно быть полностью уверенным в том, что злоумышленник не получил прав root'a.

     Анализ системы

     Как уже было отмечено, отключите систему из сети, чтобы злоумышленник не смог продолжить начатое им дело. Может, он еще не получил права root, но сможет это сделать, пока вы будете просматривать протоколы.

     Программа Chkrootkit может использоваться для обнаружения самых популярных руткитов, но она никогда не сможет обнаружить все руткиты. Поскольку утилиты ps, ls, netstat обычно заменяются троянскими версиями, то рекомендуется сразу после установки системы записать на компакт-диск каталоги /bin, /sbin, /usr/bin и /usr/ sbin.

     Во-первых, при сканировании Chkrootkit будет использовать «чистые» версии программ, а во-вторых, если обнаружится, что несколько программ повреждены или заменены троянскими версиями, вы легко восстановите их с компакт-диска и вам не придется переустанавливать систему.

     Также вы можете восстановить удаленные файлы (например, .history, в который записываются действия злоумышленника - введенные им команды), но только при условии, что их место «не занял» какой-то другой файл. Ведь при удалении файла удаляется только запись из «оглавления», но файл физически все еще остается на диске. Место, занимаемое файлом, помечается как свободное, поэтому, возможно, что система уже записала на это место другой файл.

     К сожалению, для восстановления после взлома может понадобиться переустановка всей системы. Поэтому не забывайте делать копии конфигурационных файлов - хоть на этом вы сэкономите время при переустановке системы.

     В поисках справедливости.

     Подавляющее большинство крекеров остаются безнаказанными, даже если администратор обнаружил их присутствие. Это объясняется не несовершенностью судебной системы во многих странах.

     Например, совсем необязательно, что крекер находится в одной с вами стране. Он может находиться в совершенно другой стране, где за взлом компьютерной системы вообще не привлекают к ответственности, а договор об экстрадиции между вашей страной и страной злоумышленника не подписан. Поэтому закон вам мало в чем поможет. Лучше сосредоточиться на дальнейшей защите системы, чтобы предотвратить дальнейшие попытки взлома.

     Послесловие.

     Процесс защиты Linux (как и другой системы) непрерывный - систему мало защитить, нужно поддерживать ее безопасность, иначе потраченное на защиту системы время пойдет насмарку. Администратор для эффективной защиты системы должен постоянно совершенствоваться: изучать новые версии программного обеспечения, новые, более эффективные, способы защиты системы.

     Если у вас нет времени постоянно следить за новыми версиями программ, новыми уязвимостями и обновлениями системы, можно этот процесс автоматизировать. В этой статье приведены рассылки, подписавшись на которые вы будете постоянно получать информацию о новых версиях программного обеспечения и о новых уязвимостях.

     Автоматизировать процесс обновления системы позволяют специально созданные для этого утилиты. Вы можете использовать как средства, входящие в состав дистрибутива, например up2date в Red Hat/Fedora, так и универсальные средства, подходящие для обновления многих дистрибутивов, - Ximian Red Carpet.

     Также не забывайте просматривать файлы протоколов. Это довольно утомительная задача, поэтому рекомендуем обращать внимание на анализаторы протоколов. Для полной защиты системы используйте ACL и системы обнаружения вторжений. Система LIDS сочетает в себе обе эти функции - и доступ можно ограничить, и обнаружить вторжения. Если же вы хотите использовать другую систему контроля доступа, например Grsecurity, в качестве IDS можно использовать Snort. Для проверки целостности можно использовать программу Tripwire, хотя, если вы используете систему контроля доступа (и правильно ее настроили), особой необходимости в ней нет.

Оставьте комментарий!

Не регистрировать/аноним

Используйте нормальные имена.

Если вы уже зарегистрированы как комментатор или хотите зарегистрироваться, укажите пароль и свой действующий email.
(При регистрации на указанный адрес придет письмо с кодом активации и ссылкой на ваш персональный аккаунт, где вы сможете изменить свои данные, включая адрес сайта, ник, описание, контакты и т.д.)



(обязательно)