Личный блог Suvan`a.

Работая и играя с Linux... И что из этого иногда получается.

Chkrootkit

Восстановление после взлома

Рубрики: Безопасность | Профилактика
Метки: |
Дата: 28/08/2011 20:22:06
Подписаться на комментарии по RSS

     Даже если вы следовали всем рекомендациям, приведенным выше, никто не может гарантировать 100%-ю безопасность вашей системы, поэтому психологически нужно быть готовым, что вашу систему можно взломать. Если же это случилось, нужно подумать, как вы будете восстанавливать систему. Причем лучше подумать заранее, чем потом, когда это уже случилось.

     Обнаружение нарушения безопасности

     Огромное количество взломов системы остается незамеченным администраторами долгое время - от нескольких дней до нескольких месяцев или даже лет. Если вы обнаружили, что ваша система взломана, то будьте уверены - она была взломана задолго до того, как вы это обнаружили. Мало просто обнаружить, что система взломана, нужно еще выявить и устранить «дыру» в системе безопасности. Но не думайте, что это простая задача.

     Хотя знания среднего крекера можно с натяжкой считать умеренными, он может использовать утилиты, скрывающие его присутствие, написанные более образованными крекерами. Зачастую знания опытного крекера (того, кто пишет подобные программы), превышают знания среднего администратора.

     Самое первое, что нужно сделать - это отключить вашу машину от сети (мы подразумеваем, что ваша система была взломана именно по сети, а не локальным пользователем, у которого есть физический доступ к машине). После этого в спокойной обстановке (если ее можно назвать таковой, когда за спиной стоят десятка два пользователей с одним вопросом: «Когда будет работать сервер?») нужно проанализировать ваши протоколы. Да, крекер может модифицировать протоколы, но он этого не сделает, если вы следовали приведенным в книге рекомендациям и установили одну из ACL (хотя быту же LIDS).

Далее...

Chkrootkit — антируткит

Рубрики: Безопасность | Профилактика
Метки:
Дата: 06/04/2011 10:33:51
Подписаться на комментарии по RSS

     Chkrootkit (http://www.chkrootkit.org) — это просто антивирус, специализирующийся на руткитах — ведь троянская программа считается вирусом. Chkrootkit, кроме руткитов, позволяет обнаруживать и другой тип программ — червей. Текущая версия chkrootkit позволяет обнаружить более 50 вредоносных программ, среди них:

• LRK (Linux Rootkit).

• TOrn.

• Adore LKM.

• червь Slapper.

• Червь Adore (не путайте с руткитом Adore).

Далее...