| Разделы новостей |
 ЖелезоСофтИнтернетНаука и техникаЭлектронная коммерция |
| Разделы статей |
В данной заметке я
рассмотрю сервер с точки зрения хакера, что даст администратору представление
о том, на что стоит обратить внимание при защите системы или уже после ее
взлома.  Итак, второе, что делает хакер после взлома системы, — это модификация или удаление логов. А логов может быть вагон и маленькая тележка. Это, например, всем известный демон syslogd. Потом еще и файл bash_history. Демон cron тоже помогает в этом (для примера, можно копировать выводы команд w, who, last, lastlog через каждую минуту на отдельную машину). Также имеет место установка специализированного софта для слежения за системой. Ну, а грамотная настройка файрволла/IDSа с ведением логом для хакера тоже может плохо закончиться. Что в таком случае делать? Убедившись, что поблизости не наблюдается админа или других полномочных юзеров, можно начать работу. Первое, что нужно сделать, — проанализировать ваш недавний взлом. Обратите внимание на использованные при этом "дырявые" сервисы (ftp, http, ssh, sendmail, pop3 и др.). Возможно, стоит посмотреть файлы /var/log/[сервис]. После этого нужно немедленно заняться стандартным демоном, таким как syslogd. Для этого и нужны logwriterы. Потом можно удалить файл bash_history (или соответствующий используемой оболочке). Не забудьте посмотреть /var/log/secure (это лог-файл TcpWrapperа, который занимается подключениями). Из дополнительного софта чаще всего ставится tripwire. Приемы противодействия можно найти на http://www.void.ru. Стоит сказать, что здесь все зависит от вашей смекалки и обширности знаний в этой области: программы ведения логов сейчас очень продвинулись, в списке процессов их не видно, и в скрытых папках лежат. Умные админы часто применяют различные фичи. Например, syslogd сообщения можно перенаправить на отдельную станцию, на консоль rootа, всем пользователям, что и делается. Таким штучкам довольно трудно противостоять. Очень многие усиленно используют cron, выполняя им, скажем, резервное копирование логов куда-либо. Из этого следует, что лучше все тщательно проверять. Стоит рассказать о IDS/Firewall. Что это такое? Firewall фильтрует пакеты по определенным правилам, а IDS предотвращает записанные в его базу (известные) атаки. Исходя из этого, следует, что такая связка может попортить хакеру много нервных клеток. Разберемся с файрволлом. Во-первых, он редко бывает грамотно настроен. Ну, а если и так, то все правила можно спокойно сбросить, да и обычно все логируется в syslog. С IDSом тоже обычно проблем не возникает, так как его мало кто ставит, также сложная его настройка многих админов просто убивает. Во-вторых, IDS известны только атаки, содержащиеся в его базе, а как часто админ ее обновляет? А если хакер придумал что-то новое, то ему беспокоиться вообще не придется. И все же основная часть модификации логов — logwriterы. Правда, многие используют logwriterы наугад, даже не удостоверившись в их работоспособности. Ниже приведен список программ подобного рода, наиболее часто используемых взломщиками: 1. remove — очищает (очищает — это не удаляет, а просто модифицирует) файлы wtmp, utmp, lastlog. 2. marry — очищает utmp, wtmp, syslog. 3. utclean — очищает wtmp, utmp. 4. zap[2] — очищает lastlog, wtmp. 5. displant.c — очищает utmp. 6. cloak[2] — очищает lastlog, utmp, wtmp. 7. wtmped — очищает wtmp. 8. wzap — очищает wtmp. 9. utmp — очищает utmp. 10. ucloak — очищает lastlog, utmp. 11. sysfog — добавляет поддельные записи в syslogd. 12. stealth — очищает utmp. 13. logwedit — очищает wtmp по номеру tty. 14. logutmpeditor — очищает utmp. 15. logcloak — очищает wtmp, utmp, lastlog. 16. lastlog — очищает lastlog. 17. wipe — очищает wtmp, lastlog, utmp. www.sdteam.com Различные операционные системы 02-02-2007 На предстоящей неделе Microsoft выпускает закрытую бета-версию Service Pack 2 для Vista 28-10-2008 Различные операционные системы На предстоящей неделе корпорация Microsoft выпустит первую закрытую бета-версию пакета обновлений Service Pack 2 для операционной системы Windows Vista. В пакете SP2 заявлено множество нововведений, в том числе встроенная поддержка работы с форматом Blu-ray.Майк Нэш, руководитель отдела разработки Windows, напомнил, что с прошлого года Microsoft начала выводить клиентские и серверные версии своих ОС на единый и синхронный цикл выхода основных нов... Информация, необходимой для устранения проблемы синего экрана Windows XP 22-08-2008 Различные операционные системы Операционная система Windows XP славится своим умением зависать по самым разным поводам и с самыми разными результатами. Иногда решить проблему можно просто завершением неотвечающего приложения или перезагрузкой, но в некоторых случаях это может привести к сбою всей системы. Microsoft называет такие сбои «стоп-ошибками» (Stop errors), потому что в подобных случаях система перестает реагировать на действия пользователя. При возникновении стоп-ошиб... Microsoft тратит 300млн. долларов на раскрутку Windows Vista 22-08-2008 Различные операционные системы Корпорация Microsoft готова инвестировать $300 млн на PR-камапнию для Windows Vista. По мнению ведущих маркетологов, этой суммы должно с лихвой хватить для поднятия имиджа операционной системы, которая оказалась не совсем удачной для Microsoft. В основном вся критика по поводу данной ОС сводилась к трем факторам:1. Проблемы с совместимостью оборудования и программного обеспечения;2. Проблемы обеспечения безопасности;3. Потеря производительности.С... Microsoft выпускает новую Windows XP для работы на ноутбуках OLPC XO 28-07-2008 Различные операционные системы В рамках ранее объявленного сотрудничества между некоммерческим фондом One Laptop Per Child (OLPC) и Microsoft было достигнуто соглашение о выпуске специализированной версии WindowsXP, предназначенной для работы на "стодолларовых" детских ноутбуках XO. Об этом сообщил Джеймс Уцшнайдер, менеджер Microsoft по развивающимся рынкам.Спецверсия Windows XP будет иметь драйверы для загрузки ОС с карты памяти SD, а также получит принципи... Навигационная система "хлебные крошки" (breadcrumb) как замена кнопке "Вверх" в Vista 18-06-2008 Различные операционные системы Как вам уже, наверное, известно, я нахожусь в постоянном поиске полезных гаджетов и утилит типа PowerToy, расширяющих возможности операционной системы Windows Vista. Во время недавней охоты я наткнулся на ряд программ, разработанных для добавления в интерфейс проводника Vista кнопки «Вверх» (Up).Кнопка «Вверх»Неудивительно, что появилось множество утилит для добавления кнопки «Вверх» в интерфейс Проводника Vista — мы привыкли пользоваться ей для ... |
Copyright by www.scripts.net.ua.
 |