Ваши действия после взлома?

Strong and Humble пишет:

Если произошло чудо и логи не потерли то тщательный анализ логов за
период времени, в которое предпологаемо произошел взлом.

Ну и далее, чтобы попытаться вычистить установленную гадость
ps ax и kill странных процессов
netstat -nltp и килл лишних сервесов, аналогично для -nlup
vim /etc/passwd на предмет пользователей с UID 0
cd / ; ls -la ; ls -la --time=ctime и поиск того, что было
модифицировано после взлома

Скорее всего с такой-же жертвы взлома, так что пользы от него не так уж
и много.

-*Название листа "Linux: разрешение вопросов, перспективы и общение";
Написать в лист: mailto:comp.soft.linux.discuss-list@subscribe.ru
Адрес правил листа http://subscribe.ru/catalog/comp.soft.linux.discuss/rules
Номер письма: 36215; Возраст листа: 2163; Участников: 1383
Адрес сайта рассылки: http://www.linuxrsp.ru
Адрес этого письма в архиве: http://subscribe.ru/archive/comp.soft.linux.discuss/msg/877953

On Fri, 26 Jun 2009 19:10:25 +0300
Amper wrote:

В первую очередь очень желательно лишить сервер интернета.

NB Адекватные руткиты в выводе ps не светятся. Как и в сокетах,
собственно.

Вообще, на модификацию файлов надо ставить IDS, чтоб само следило.

Или из tor, что тоже не сильно поможет.

-*Название листа "Linux: разрешение вопросов, перспективы и общение";
Написать в лист: mailto:comp.soft.linux.discuss-list@subscribe.ru
Адрес правил листа http://subscribe.ru/catalog/comp.soft.linux.discuss/rules
Номер письма: 36217; Возраст листа: 2165; Участников: 1383
Адрес сайта рассылки: http://www.linuxrsp.ru
Адрес этого письма в архиве: http://subscribe.ru/archive/comp.soft.linux.discuss/msg/878395

Oleg Matviychuk пишет:

И как же такое можно сделать?

-*Название листа "Linux: разрешение вопросов, перспективы и общение";
Написать в лист: mailto:comp.soft.linux.discuss-list@subscribe.ru
Адрес правил листа http://subscribe.ru/catalog/comp.soft.linux.discuss/rules
Номер письма: 36218; Возраст листа: 2165; Участников: 1383
Адрес сайта рассылки: http://www.linuxrsp.ru
Адрес этого письма в архиве: http://subscribe.ru/archive/comp.soft.linux.discuss/msg/878470

Amper wrote:

За счет подмены системных утилит, таких как ps, ls и др. на поддельные,
которые работаю почти так же, но "не выдают своих". На этом собственно и
основаны методы поиска руткитов (утилиты rkhunter, chkrootkit,
проверяющие контрольные суммы ключевых утилит ОС).

Что делать?

1) Отключить сервер от интернет.
2) Сохранить пользовательские данные и настройки
3) Поставить чистую систему
4) Восстановить пользовательские данные и настройки

:
: За счет подмены системных утилит, таких как ps, ls и др. на поддельные,
: которые работаю почти так же, но "не выдают своих". На этом собственно и
: основаны методы поиска руткитов (утилиты rkhunter, chkrootkit,
: проверяющие контрольные суммы ключевых утилит ОС).
:
: Что делать?
:
: 1) Отключить сервер от интернет.
: 2) Сохранить пользовательские данные и настройки
: 3) Поставить чистую систему
: 4) Восстановить пользовательские данные и настройки

и добавлю:

5) мониторить изменения в дальнейшем

-*Название листа "Linux: разрешение вопросов, перспективы и общение";
Написать в лист: mailto:comp.soft.linux.discuss-list@subscribe.ru
Адрес правил листа http://subscribe.ru/catalog/comp.soft.linux.discuss/rules
Номер письма: 36220; Возраст листа: 2165; Участников: 1383
Адрес сайта рассылки: http://www.linuxrsp.ru
Адрес этого письма в архиве: http://subscribe.ru/archive/comp.soft.linux.discuss/msg/878492

Всеволод wrote:

Добавлю из личного опыта. Обязательно проанализировать логи, чтобы не
наступить на те же
грабли (часто остаются следы в логах BASH). У меня первый раз была
устаревшая версия SSL с дырой
(в логах соединения было видно) и существовал эксплойт, а во второй раз
- наружу был открыт SSH и
юзвери были типа info:info. Зашли под этим пользователем, скомпилили
руткит, получили права
суперпользователя и ...

Олег

-*Название листа "Linux: разрешение вопросов, перспективы и общение";
Написать в лист: mailto:comp.soft.linux.discuss-list@subscribe.ru
Адрес правил листа http://subscribe.ru/catalog/comp.soft.linux.discuss/rules
Номер письма: 36222; Возраст листа: 2166; Участников: 1383
Адрес сайта рассылки: http://www.linuxrsp.ru
Адрес этого письма в архиве: http://subscribe.ru/archive/comp.soft.linux.discuss/msg/878718

Oleg wrote:

Еще 5 копеек от меня.

Очень помогает если у всех юзверей которым шелл не нужен в качестве
оболочки задан

/sbin/mologin

У меня это в /etc/default/useradd задано. Создается юзер с этим шеллом,
а кому надо потом ручками /bin/bash прописываю.

Еще очень полезно если ssh нужен, повесить его на нестандартный порт.
Можно использовать порт какой-либо из служб которые у Вас не
используются, а лучше взять что-нибудь выше 1024. Их там на всех хватит ;-)

И в /etc/ssh/sshd_config прописать PermitRootLogin no

И конечно регулярный анализ /var/log/secure, /var/log/messages,
/var/log/xferlog

-*Название листа "Linux: разрешение вопросов, перспективы и общение";
Написать в лист: mailto:comp.soft.linux.discuss-list@subscribe.ru
Адрес правил листа http://subscribe.ru/catalog/comp.soft.linux.discuss/rules
Номер письма: 36223; Возраст листа: 2166; Участников: 1383
Адрес сайта рассылки: http://www.linuxrsp.ru
Адрес этого письма в архиве: http://subscribe.ru/archive/comp.soft.linux.discuss/msg/878774

Спасибо за Ваш ответ, Eugene:

1ый и 3ий - как получают?

-*Название листа "Linux: разрешение вопросов, перспективы и общение";
Написать в лист: mailto:comp.soft.linux.discuss-list@subscribe.ru
Адрес правил листа http://subscribe.ru/catalog/comp.soft.linux.discuss/rules
Номер письма: 36243; Возраст листа: 2167; Участников: 1382
Адрес сайта рассылки: http://www.linuxrsp.ru
Адрес этого письма в архиве: http://subscribe.ru/archive/comp.soft.linux.discuss/msg/879590

Strong and Humble wrote:

В моем дистре (клон RHEL 5.3) в файле /etc/syslog.conf строки

# The authpriv file has restricted access.
authpriv.* /var/log/secure

обеспечивают ведение файла /var/log/secure

В файле /etc/vsftpd/vsftpd.conf строки

xferlog_enable=YES
xferlog_std_format=YES
xferlog_file=/var/log/xferlog

отвечают за /var/log/xferlog

Кроме того есть хорошая команда lastlog, выдающая время последнего входа
в сисиему, с какого терминала или IP для каждого пользователя,
имеющегося в системе. Правда в ее выводе присутствует множество
пользователей с состоянием "Never logged in". Поэтому лучше эту команду
давать в виде:

lastlog | grep -v logged

При этом останутся только пользователи реально входившие в систему.

Конечно на взломанной системе полностью доверять выводу этой команды не
стоит, но поскольку ее информация хранится не в текстовом виде, ее не
так то просто подчистить. По крайней мере мне она позволила узнать IP
взломщика.

Спасибо за Ваш ответ, Eugene:

Ясно. У меня это в /var/log/auth складывается:

auth,authpriv.* /var/log/auth.log

Пардон. Забыл, что там так этот файл называется...

Да... только вот "молодцы" сносят /var/log/lastlog регулярно...

-*Название листа "Linux: разрешение вопросов, перспективы и общение";
Написать в лист: mailto:comp.soft.linux.discuss-list@subscribe.ru
Адрес правил листа http://subscribe.ru/catalog/comp.soft.linux.discuss/rules
Номер письма: 36254; Возраст листа: 2169; Участников: 1384
Адрес сайта рассылки: http://www.linuxrsp.ru
Адрес этого письма в архиве: http://subscribe.ru/archive/comp.soft.linux.discuss/msg/880752

Strong and Humble wrote:

Я не знаю как в Вашем дистре, в моем (напоминаю: клон RHEL) такого файла
нет. Информация о текущих юзерах в /var/run/utmp а о последних входах
систему /var/log/wtmp, причем не в текстовом виде, так что
подредактировать, даже если можно, то не просто.

В обоих известных мне случаях взлома эта информация сохранялась.

Спасибо за Ваш ответ, Eugene:

Ясно, а как Вы к ним обращаетесь?

-*Название листа "Linux: разрешение вопросов, перспективы и общение";
Написать в лист: mailto:comp.soft.linux.discuss-list@subscribe.ru
Адрес правил листа http://subscribe.ru/catalog/comp.soft.linux.discuss/rules
Номер письма: 36264; Возраст листа: 2172; Участников: 1384
Адрес сайта рассылки: http://www.linuxrsp.ru
Адрес этого письма в архиве: http://subscribe.ru/archive/comp.soft.linux.discuss/msg/881760

Strong and Humble wrote:

Информацию о текущих юзерах (из файла /var/run/utmp) выдает команда who
а о последних входах (из файла /var/log/wtmp) -- lastlog

правда в ее выводе присутствует множество
пользователей с состоянием "Never logged in". Поэтому лучше эту команду
давать в виде:

lastlog | grep -v logged

При этом останутся только пользователи реально входившие в систему.

Конечно этой информации можно доверять только если bad boy не заменил
файлы who и lastlog.

Проверить это можно с помощью утилит rkhunter
(http://www.rootkit.nl/projects/rootkit_hunter.html) и chkrootkit
(http://www.chkrootkit.org/)

Кстати, здесь в обсуждении высказывалось мнение, что bad boy не станет
менять системные утилиты, а подсунет юзеру локальную замену, мол для
этого не требуются рутовские привилегии. В таком случае он скроется
только от этого юзера, а от root'а ему не скрыться. Увы, в случае взлома
моего сервера была именно подмена системных утилит (около десятка). К
счастью нетронутой оказалась lastlog. С ее помощью, а также с помощью
rkhunter и chkrootkit и удалось выяснить как (с помощью юзера с реальным
шеллом и паролем "1") и с какого IP произошел взлом.

Хочу предостеречь от попытки ВОССТАНОВИТЬ СУЩЕСТВУЮЩУЮ СИСТЕМУ. Следует
забэкапить Ваши настройки (конфигурационные файлы из /etc /usr/etc
/usr/local/etc которые Вы правили) и пользовательские данные (например
почту), но ни в коем случае не исполняемые файлы.

После этого УСТАНОВИТЬ ЧИСТУЮ систему, на нее весь дополнительный софт,
который нужен Вашему серверу. Затем заново создать пользователей,
восстановить из бэкапа настройки и пользовательские данные.

В этом случае Вашему новому серверу можно доверять. Иначе останется
риск, что где-то остались остатки руткита, которыми снова можно
воспользоваться для взлома.

Возможно эти меры покажутся чрезмерными, но мне они помогли :-)

Спасибо Вам большое, за Ваш ответ, Eugene:

Как Вы думаете, не могут ли быть там спрятаны какие0то данные, к. потом
приведут к новой дыре?

Тут, также, говорилось об использовании debsums (я использую дебиан) - мне не
понятно, как м/О на взломанной ОС им воспользоваться, если:

а. на загруженной взломанной ОС - нельзя б/т доверять её копии/чистоте работы;

б. с КД загрузиться, утилите нужна среда ОС - т.е. пакеты, к. именно в ней
установлены.

??

-*Название листа "Linux: разрешение вопросов, перспективы и общение";
Написать в лист: mailto:comp.soft.linux.discuss-list@subscribe.ru
Адрес правил листа http://subscribe.ru/catalog/comp.soft.linux.discuss/rules
Номер письма: 36273; Возраст листа: 2175; Участников: 1383
Адрес сайта рассылки: http://www.linuxrsp.ru
Адрес этого письма в архиве: http://subscribe.ru/archive/comp.soft.linux.discuss/msg/882596

Strong and Humble wrote:

не

Думаю если проникновение было через эккаунт реального юзера, в его
домашнем каталоге могут быть исходные коды для компиляции руткита, или
даже исполняемые файлы.

Думаю стоит составить (напрример с помощью awk и файла /etc/passwd)
отсортированный список
login:UID:homedir:shell
для скомпроментированной системы, затем для свежеустановленной. Команда
diff поможет получить список добавленных (Вами и взломщиком) юзеров. Его
стоит просмотреть на предмет НЕЗНАКОМЫХ Вам логинов, а также логинов с UID=0

Незнакомые -- возможно добавлены взломщиком, а UID=0 недолжно быть ни у
кого кроме рута.

Всем пользователям дать сильные пароли (я использую скрипт, генерирующий
случайным образом пароль из 8 символов -- большие, малые буквы и цифры
на всех серверах открытых в инет).

rkhunter и chkrootkit проверяют аутентичность системных файлов даже на
скомпрометированной машине (грузиться с CD не надо), но они только
находят подозрительные файлы. Лечить такую машину бесполезно. Только
переустановка.

Желаю Вам успехов в борьбе :-)

Спасибо за Ваш ответ, Eugene:

А если rkhunter и chkrootkit - не настоящие? Или их работа б/т сорвана
(сделает недостоверными результаты) какой-нить процесс?

Спасибо. Для меня это как спорт - интересно. Однако, жаль, что нельзя
"молодцов" привлечь...

-*Название листа "Linux: разрешение вопросов, перспективы и общение";
Написать в лист: mailto:comp.soft.linux.discuss-list@subscribe.ru
Адрес правил листа http://subscribe.ru/catalog/comp.soft.linux.discuss/rules
Номер письма: 36330; Возраст листа: 2177; Участников: 1383
Адрес сайта рассылки: http://www.linuxrsp.ru
Адрес этого письма в архиве: http://subscribe.ru/archive/comp.soft.linux.discuss/msg/883927

Strong and Humble wrote:

http://sourceforge.net/projects/rkhunter/files/
http://www.chkrootkit.org/download/
берем отсюда и компилируем
результат гарантирован :)

2009/7/10 Eugene Saenko <caspar***@m*****.ru>:

Если только пол-часа тому назад злобные хакеры не сломали сайты
sourceforge.net и/или www.chkrootkit.org и не подменили архивы с
исходниками на нечто на первый взгляд похожее но делающее что-то еще
во благо этих самых злобных хакеров :)

Thank you,

alex

-*Название листа "Linux: разрешение вопросов, перспективы и общение";
Написать в лист: mailto:comp.soft.linux.discuss-list@subscribe.ru
Адрес правил листа http://subscribe.ru/catalog/comp.soft.linux.discuss/rules
Номер письма: 36332; Возраст листа: 2177; Участников: 1383
Адрес сайта рассылки: http://www.linuxrsp.ru
Адрес этого письма в архиве: http://subscribe.ru/archive/comp.soft.linux.discuss/msg/883996

On Fri, 10 Jul 2009 14:37:56 -0400
Alex Bolgarov wrote:

Ага. Или в скомпрометированной системе gcc подменили.

-*Название листа "Linux: разрешение вопросов, перспективы и общение";
Написать в лист: mailto:comp.soft.linux.discuss-list@subscribe.ru
Адрес правил листа http://subscribe.ru/catalog/comp.soft.linux.discuss/rules
Номер письма: 36333; Возраст листа: 2178; Участников: 1383
Адрес сайта рассылки: http://www.linuxrsp.ru
Адрес этого письма в архиве: http://subscribe.ru/archive/comp.soft.linux.discuss/msg/884016

Oleg Matviychuk wrote:

Ага. Или админа выкрали и подменили хакером.

Спасибо за Ваш ответ, Всеволод:

дак вот как часто?

1. Anacron - минимум от часа повторяет - т.е. не чаще.

2. Даже если написать что-то своё - опять же как часто:

- ежесекундно не будешь - это н/о ещё и на машину какую переслать! А с частотой
в минуту, - уже б/т поздно на момент взлома...

-*Название листа "Linux: разрешение вопросов, перспективы и общение";
Написать в лист: mailto:comp.soft.linux.discuss-list@subscribe.ru
Адрес правил листа http://subscribe.ru/catalog/comp.soft.linux.discuss/rules
Номер письма: 36227; Возраст листа: 2166; Участников: 1383
Адрес сайта рассылки: http://www.linuxrsp.ru
Адрес этого письма в архиве: http://subscribe.ru/archive/comp.soft.linux.discuss/msg/878821

Спасибо за Ваш ответ, Eugene:

Так они и сделали - доказано rkhunter-ом.

А вот вопрос: они это сами сотворили, или есть уже готовые наборы - я про
заменяющие ps, ls, и т.д.

Так и сделали с последней установкой по отношению к предыдущей. - Но, с тем же
результатом, как оказалось. Вот, теперь анализируем...

А нет ли автоаудиторов для разных служб и/или сервера в целом?

-*Название листа "Linux: разрешение вопросов, перспективы и общение";
Написать в лист: mailto:comp.soft.linux.discuss-list@subscribe.ru
Адрес правил листа http://subscribe.ru/catalog/comp.soft.linux.discuss/rules
Номер письма: 36226; Возраст листа: 2166; Участников: 1383
Адрес сайта рассылки: http://www.linuxrsp.ru
Адрес этого письма в архиве: http://subscribe.ru/archive/comp.soft.linux.discuss/msg/878815

же

Повторю дополнительные меры из своего предыдущего поста:

оболочки задан

/sbin/mologin

У меня это в /etc/default/useradd задано. Создается юзер с этим шеллом,
а кому надо потом ручками /bin/bash прописываю.

Еще очень полезно если ssh нужен, повесить его на нестандартный порт.
Можно использовать порт какой-либо из служб которые у Вас не
используются, а лучше взять что-нибудь выше 1024. Их там на всех хватит ;-)

И в /etc/ssh/sshd_config прописать PermitRootLogin no

bad boy воспользовался известным ему паролем одного из пользователей.

Стоит дополнительно сменить пароль всем пользователям.

Особое внимание обратить на ОТСУТСТВИЕ РЕАЛЬНОГО ШЕЛЛА у всех
пользователей, кому он реально не нужен. (У меня кроме root и двух
пользователей у всех /sbin/nologin). Это касается и системных
пользователей вроде mysql или squid.

И еще. При восстановлении пользовательских данных на ЧИСТОЙ системе ни в
коем случае не восстанавливать никаких исполняемых файлов. Только
конфигурационные файлы и данные (например почта).

Если все же был повторный взлом, то видимо у кого-то мз Ваших
пользователей слабый пароль вроде "1". Опять же должна помочь смена
пароля, но следует обратить внимание на стойкость паролей.

Кроме того, помнится, в декабре 2008 Вы поднимали подобную тему и тогда
вам советовали обратить внимание на утилиту fail2ban, входящую в
большинство дистров. Повторно обращаю Ваше внимание на эту утилиту.
Очень эффективна.

И еще. Если у Вас на сервере используются PHP-скрипты, погуглите на тему
взлома мспользованной Вами версии PHP-скриптов. Недавнопрокатилась
серия взломов системы дистанционного образования moodle, написанной на
PHP. В этом случае помогало обновление версии moodle.

Спасибо за Ваш ответ, Eugene:

У нас - где nologin, где false. Да из "живых" пользователей - всего несколько
записей, причём с доступом к оболочке - только для одного человека...

А где Вы это изменили?

Было... :-(

Аналогично... Как взломали?!

Исключено- пароли для оболочки только у одного меня и "километровые". -
Параноя, знаете ли :-)

Вход по ssh был по ключу. Тут вот интересно? воз-но ли было взломщикам создать
ключ, если, они видели pub-часть на предыдущей установке (взломанной ими), а
новый ключ был изготовлен на той же машине, что и предыдущий? - Т.е. насколько
воз-но вычислить другую часть?

Да, тут не учёт... У Вас нет ссылки на хорошую док-цию? Или пошаговое рук-во
с
объяснением шагов?

Нету, специально.

-*Название листа "Linux: разрешение вопросов, перспективы и общение";
Написать в лист: mailto:comp.soft.linux.discuss-list@subscribe.ru
Адрес правил листа http://subscribe.ru/catalog/comp.soft.linux.discuss/rules
Номер письма: 36241; Возраст листа: 2167; Участников: 1382
Адрес сайта рассылки: http://www.linuxrsp.ru
Адрес этого письма в архиве: http://subscribe.ru/archive/comp.soft.linux.discuss/msg/879586

Strong and Humble wrote:

В файле /etc/default/useradd заменил SHELL=/bin/bash на SHELL=/sbin/nologin

Не знаю :-(
Мой сервер ломали дважды. Первый раз через пользователя, имевшего шелл и
слабый пароль. Второй -- через PHP-скрипт. Вовремя не обновил версию
moodle (система дистанционного образования). В moodle обнаружилась
уязвимость и по миру прокатилась серия взломов сайтов с ним на борту.
Под раздачу попал и я :(

а

Насколько понимаю -- нет. Но в этом вопросе я не эксперт.

Это не учет. Это сервис, следящий за попытками подбора паролей и при их
обнаружении блокирует на некоторое время IP источника. Пошагового
руководства для моего Scientific Linux (пересборка RHEL 5.3) нет да и не
нужно. После установки пакета достаточно слегка подправить хорошо
документированный конфиг. Для Debian нашел что-то вроде:
http://blog.sozinov.eu/2007/03/fail2ban.html
Там же есть ссылка на Homepage проекта, где есть документация. (я не
знаю какой у Вас дистр).

Спасибо за Ваш ответ, Eugene:

Просто когда не получается найти причину, уже думаешь о самом невероятном - как
перепрограммирование БИОСа, и т.д. С другой стороны, м/б просто оборудование
протестировать....

-*Название листа "Linux: разрешение вопросов, перспективы и общение";
Написать в лист: mailto:comp.soft.linux.discuss-list@subscribe.ru
Адрес правил листа http://subscribe.ru/catalog/comp.soft.linux.discuss/rules
Номер письма: 36255; Возраст листа: 2169; Участников: 1384
Адрес сайта рассылки: http://www.linuxrsp.ru
Адрес этого письма в архиве: http://subscribe.ru/archive/comp.soft.linux.discuss/msg/880753

http://blog.sozinov.eu/2007/03/fail2ban.html

-*Название листа "Linux: разрешение вопросов, перспективы и общение";
Написать в лист: mailto:comp.soft.linux.discuss-list@subscribe.ru
Адрес правил листа http://subscribe.ru/catalog/comp.soft.linux.discuss/rules
Номер письма: 36229; Возраст листа: 2166; Участников: 1383
Адрес сайта рассылки: http://www.linuxrsp.ru
Адрес этого письма в архиве: http://subscribe.ru/archive/comp.soft.linux.discuss/msg/878875

Strong and Humble wrote:

Есть: tripwire

On Sun, 28 Jun 2009 20:01:23 +0400
Eugene Saenko wrote:

Фи, как грубо. К тому же далеко не всегда есть возможность заменить
эти бинарники на свои. Скорее подсунуть в районе ~/bin и прописать в
$PATH на первое место его. Емнип, там как-то прячутся от системных
вызовов, которые шерстят табличку процессов. Подробностей не помню,
но где-то распечатка была, могу поискать, если интересно.

Хозяйке на заметку:
$ aptitude show unhide
...
Unhide is a forensic tool to find processes and TCP/UDP ports hidden by rootkits,
Linux kernel modules or by other
techniques. It includes two utilities: unhide and unhide-tcp.

unhide detects hidden processes using three techniques:
* comparing the output of /proc and /bin/ps
* comparing the information gathered from /bin/ps with the one gathered from
system calls (syscall scanning)
* full scan of the process ID space (PIDs bruteforcing)

unhide-tcp identifies TCP/UDP ports that are listening but are not listed in
/bin/netstat through brute forcing of all
TCP/UDP ports available.

Как раз то, о чем я говорил. Не подменяются утилиты, а обманываются.

Ну я бы для начала попробовал debsums прогнать. Благо, поводов не
было, но должно целостность достаточно точно проверить бинари. Ну,
это если debian-производные )

-*Название листа "Linux: разрешение вопросов, перспективы и общение";
Написать в лист: mailto:comp.soft.linux.discuss-list@subscribe.ru
Адрес правил листа http://subscribe.ru/catalog/comp.soft.linux.discuss/rules
Номер письма: 36231; Возраст листа: 2167; Участников: 1383
Адрес сайта рассылки: http://www.linuxrsp.ru
Адрес этого письма в архиве: http://subscribe.ru/archive/comp.soft.linux.discuss/msg/879051

Спасибо за Ваш ответ, Oleg:

А как они "помогают" пользователю запустить rootkit? - Прав-то на изменение
PATH - нет.

-*Название листа "Linux: разрешение вопросов, перспективы и общение";
Написать в лист: mailto:comp.soft.linux.discuss-list@subscribe.ru
Адрес правил листа http://subscribe.ru/catalog/comp.soft.linux.discuss/rules
Номер письма: 36253; Возраст листа: 2169; Участников: 1384
Адрес сайта рассылки: http://www.linuxrsp.ru
Адрес этого письма в архиве: http://subscribe.ru/archive/comp.soft.linux.discuss/msg/880750

On Thu, 2 Jul 2009 13:53:45 +0700
Strong and Humble wrote:

Чтобы изменить $PATH юзеру, достаточно иметь права этого юзера. А
чтобы затереть ls, это рутом надо стать.

-*Название листа "Linux: разрешение вопросов, перспективы и общение";
Написать в лист: mailto:comp.soft.linux.discuss-list@subscribe.ru
Адрес правил листа http://subscribe.ru/catalog/comp.soft.linux.discuss/rules
Номер письма: 36258; Возраст листа: 2169; Участников: 1384
Адрес сайта рассылки: http://www.linuxrsp.ru
Адрес этого письма в архиве: http://subscribe.ru/archive/comp.soft.linux.discuss/msg/880787

Спасибо за Ваш ответ, Oleg:

1. Сотрудникам он нужен!
2. Легче заметить их деятельность, пока они там что-то творят...

Вот-вот, не видно подозрительного.

Это tripware так обзывается? Что есть IDS?

А tor что такое? :-)

-*Название листа "Linux: разрешение вопросов, перспективы и общение";
Написать в лист: mailto:comp.soft.linux.discuss-list@subscribe.ru
Адрес правил листа http://subscribe.ru/catalog/comp.soft.linux.discuss/rules
Номер письма: 36225; Возраст листа: 2166; Участников: 1383
Адрес сайта рассылки: http://www.linuxrsp.ru
Адрес этого письма в архиве: http://subscribe.ru/archive/comp.soft.linux.discuss/msg/878813

On Mon, 29 Jun 2009 15:10:27 +0700
Strong and Humble wrote:

Обойдутся =)

Возможно, уже не помню. Intrusion Detection System. Помню одну,
которая считает хеш всего, что есть в системе, кроме /etc и /home по
умолчанию, кажется. Все это куда-то прячет и тоже целостность
контролирует. Если что не совпало при очередной проверке -- пищит.
Подробнее не скажу, не помню. Не пользуюсь, ибо лень %)

Кстати, еще вспомнил. Очень даже полезно вынести /tmp и /var в
отдельные ФС, сделать им noexec, ибо нефиг, а корень в ro
монтировать, ибо тоже нефиг в штатном режиме туда чего-то писать.
Очень, знаете ли, усложняет жизнь.

google://tor

-*Название листа "Linux: разрешение вопросов, перспективы и общение";
Написать в лист: mailto:comp.soft.linux.discuss-list@subscribe.ru
Адрес правил листа http://subscribe.ru/catalog/comp.soft.linux.discuss/rules
Номер письма: 36232; Возраст листа: 2167; Участников: 1383
Адрес сайта рассылки: http://www.linuxrsp.ru
Адрес этого письма в архиве: http://subscribe.ru/archive/comp.soft.linux.discuss/msg/879053

Спасибо за Ваш ответ, Oleg:

А обновлять как - постоянно перемонтировать?

И ещё, как fail2ban может помочь мне, если:

1. я использую только ssh и *неавторизованный* доступ к паутине;

2. по ssh доступ - только для одного польз-ля, по ключу - подобрать - наврядли.

3. Доступ по ssh разрешён не более, скажем, 4 соединения в полчаса.

??

Скорее, тут м/б найдена дыра в ssh-сервере, но тут и fail2ban не поможет - если
соединения случаются...

Однако, не понятно:

1. Можно ли автоматически обработать весь поток через маршрутизатор, слив его
предварительно, для анализа: "как взломали сервер? Как они работают с ним?"

2. Как заставить службы работать не с правами админ-а?

-*Название листа "Linux: разрешение вопросов, перспективы и общение";
Написать в лист: mailto:comp.soft.linux.discuss-list@subscribe.ru
Адрес правил листа http://subscribe.ru/catalog/comp.soft.linux.discuss/rules
Номер письма: 36250; Возраст листа: 2168; Участников: 1384
Адрес сайта рассылки: http://www.linuxrsp.ru
Адрес этого письма в архиве: http://subscribe.ru/archive/comp.soft.linux.discuss/msg/880274

On Wed, 1 Jul 2009 22:13:53 +0700
Strong and Humble wrote:

Просмотрел обновления на своем сервере: в среднем раз в неделю. Не
сильно большой головняк. Тем более, у меня по крону обновление. Там
же можно попросить на время обновления в rw перемонтировать.

А в опциях так прям и сказано: пускать только по ключу?

У вас компания, для которой экономически выгодно заказывать поиск не
публичной уязвимости? Если нет, то в нормальном дистрибутиве
обновления безопасности появляются через несколько часов после
появления баги в багтраке.

Чем tcpdump не устраивает? Дампим соединение на подозреваемые порты и
смотрим вдумчиво.

Все нормальные службы умеют менять uid/gid процесса на желаемый. И в
конфиге имеют соответствующие опции, от имени кого им работать.

-*Название листа "Linux: разрешение вопросов, перспективы и общение";
Написать в лист: mailto:comp.soft.linux.discuss-list@subscribe.ru
Адрес правил листа http://subscribe.ru/catalog/comp.soft.linux.discuss/rules
Номер письма: 36257; Возраст листа: 2169; Участников: 1384
Адрес сайта рассылки: http://www.linuxrsp.ru
Адрес этого письма в архиве: http://subscribe.ru/archive/comp.soft.linux.discuss/msg/880785

Спасибо за Ваш ответ, Oleg:

Здорово придумано!

Да.

Возможно, кто-то уже нашёл уязвимость и пользуется себе по-тихоньку, до поры...
А смысл... ну, например, создать сеть машин для атаки... Поэтому цель - не
конкретная орг-ция, а совершение мощной атаки для глубзе идущих целей.

Воз-но вдумчиво, автоматически посмтореть?

Можно пример строк конкретного конф. файла, конкретной службы?

Предлагаю поделиться/обсудить конфигурации для популярных служб: postfix,
vsftpd, squid, iptables - на предмет безопасности.

-*Название листа "Linux: разрешение вопросов, перспективы и общение";
Написать в лист: mailto:comp.soft.linux.discuss-list@subscribe.ru
Адрес правил листа http://subscribe.ru/catalog/comp.soft.linux.discuss/rules
Номер письма: 36265; Возраст листа: 2172; Участников: 1384
Адрес сайта рассылки: http://www.linuxrsp.ru
Адрес этого письма в архиве: http://subscribe.ru/archive/comp.soft.linux.discuss/msg/881762

On Sat, 4 Jul 2009 14:48:51 +0700
Strong and Humble wrote:

Чего-то кроме snort ничего в голову не лезет. И то не факт, что это
то, что надо )

Apache2:
# These need to be set in /etc/apache2/envvars

User ${APACHE_RUN_USER}

Group ${APACHE_RUN_GROUP}

mysql:
user = mysql

openvpn:
#openvpn priv after init.

user nobody

group nogroup

proftpd:
# Set the user and group that the server normally runs at.

User nobody

Group nogroup

И так далее. Это из того, что у меня стоит, пока не надоело искать )

-*Название листа "Linux: разрешение вопросов, перспективы и общение";
Написать в лист: mailto:comp.soft.linux.discuss-list@subscribe.ru
Адрес правил листа http://subscribe.ru/catalog/comp.soft.linux.discuss/rules
Номер письма: 36267; Возраст листа: 2173; Участников: 1384
Адрес сайта рассылки: http://www.linuxrsp.ru
Адрес этого письма в архиве: http://subscribe.ru/archive/comp.soft.linux.discuss/msg/881830

Спасибо Вам большое, Oleg:

А для vsftpd и postfix не подскажете где это выставляется?

-*Название листа "Linux: разрешение вопросов, перспективы и общение";
Написать в лист: mailto:comp.soft.linux.discuss-list@subscribe.ru
Адрес правил листа http://subscribe.ru/catalog/comp.soft.linux.discuss/rules
Номер письма: 36272; Возраст листа: 2175; Участников: 1383
Адрес сайта рассылки: http://www.linuxrsp.ru
Адрес этого письма в архиве: http://subscribe.ru/archive/comp.soft.linux.discuss/msg/882595

On Tue, 7 Jul 2009 22:49:24 +0700
Strong and Humble wrote:

Не конфигурял. man main.cf?

-*Название листа "Linux: разрешение вопросов, перспективы и общение";
Написать в лист: mailto:comp.soft.linux.discuss-list@subscribe.ru
Адрес правил листа http://subscribe.ru/catalog/comp.soft.linux.discuss/rules
Номер письма: 36282; Возраст листа: 2175; Участников: 1383
Адрес сайта рассылки: http://www.linuxrsp.ru
Адрес этого письма в архиве: http://subscribe.ru/archive/comp.soft.linux.discuss/msg/882700

Спасибо за Ваш ответ, Amper:

Есть предыдущие (до взлома) журналы, но не видно там чего-либо подозрительного,
похоже, что их просто модифицировали, как и ныне существующие журналы - просто
всё прелестно.

Я вот думаю: возможна ли такая ошибочная конфигурация почтовика, заместителя
(proxy) которая бы привела к взлому с такими правами? Вот, например, в постфикс
- есть запуск в choot - может ли это привести к такой проблеме?

Потом, как выяснить от каких пользователей запускаются разные службы - те же
постфиксы, amavis, squid? - Как я думаю, как раз от root. => В случае взлома
(использования дыры, ещё не известной разработчикам) - можно получить админ-а.

Это размышления... Поправьте, выскажете Ваши соображения.

Спасибо.

Тут чисто.

Это м/о изменить (даты)...

Ну, не обязательно, а если и так - то, что преследуют они - создание сети зомби?

PS Может ли каким-то волшебным образом вражеское ПО записано в "железные"
памяти, или воз-ть обращения ко взломанной версии ОС? - Т.к. ОС установили на
соседний раздел одного диска, отрубив возможность загрузки старой версии.

-*Название листа "Linux: разрешение вопросов, перспективы и общение";
Написать в лист: mailto:comp.soft.linux.discuss-list@subscribe.ru
Адрес правил листа http://subscribe.ru/catalog/comp.soft.linux.discuss/rules
Номер письма: 36224; Возраст листа: 2166; Участников: 1383
Адрес сайта рассылки: http://www.linuxrsp.ru
Адрес этого письма в архиве: http://subscribe.ru/archive/comp.soft.linux.discuss/msg/878812