LINUX.ORG.RU

Re: Анализ взлома сервера под линаксом

Да лайнакс вообще рай для хакирафф. Я на прошлой работе дофига на такое насмотрелся. shv5, кстати, весьма популярная штука для построения ботнетов.

Deleted ()

Re: Анализ взлома сервера под линаксом

Такого анализатора убить мало - первое, что делают в таких случаях, вырубают из розетки питание (никаких там shutdown -t now)

birdie ★★★★★ ()
Ответ на: Re: Анализ взлома сервера под линаксом от birdie

Re: Анализ взлома сервера под линаксом

> Такого анализатора убить мало - первое, что делают в таких случаях, вырубают из розетки питание (никаких там shutdown -t now)

...и своими собственными руками чистят все, что было интересного в памяти? хорошая идея :)

// wbr

klalafuda ★☆☆ ()
Ответ на: Re: Анализ взлома сервера под линаксом от birdie

Re: Анализ взлома сервера под линаксом

Сколько эмоций... Советую почитать "Руководство администратора linux", там как раз есть глава про действия при обнаружении взлома...

Deleted ()
Ответ на: Re: Анализ взлома сервера под линаксом от klalafuda

Re: Анализ взлома сервера под линаксом

Кстати давно интересно было. Настроен, допустим, suspend to (disk | file |swap). Думаю, что большинтсво руткитов на это не расчитаны.

Саспендим машину - и имеем полный дамп памяти. Это наверное может помочь в дальнейшем анализе..

octy ★★ ()

Re: Анализ взлома сервера под линаксом

> Кстати давно интересно было. Настроен, допустим, suspend to (disk | file |swap). Думаю, что большинтсво руткитов на это не расчитаны.
> Саспендим машину - и имеем полный дамп памяти. Это наверное может помочь в дальнейшем анализе..

как вариант :) не думаю, что большинство авторов руткитов заморачиваются на тему suspend а если и задумываются то знают, что с этим делать. не факт конечно, что копаться в полученном дампе будет так уж просто, но помочь в принципе может.

// wbr

klalafuda ★☆☆ ()
Ответ на: Re: Анализ взлома сервера под линаксом от klalafuda

Re: Анализ взлома сервера под линаксом

Да, ну по крайней мере будем иметь возможность восстанавливать машину к состоянию до выключения неограниченное количество раз (клонированием всего диска - теперь уже вместе с памятью - например.

octy ★★ ()

Гнидам-хакерам с ЛОРа посвещается

Вы выйграли.

Может это прозвучит высокопарно, но Бог вам судья.

anonymous ()

Re: Анализ взлома сервера под линаксом

Ломал явный лузир, ни модульных руткитов, ни скрытия следов, ни даже почищенных логов и хистори. Пипец, поколение пепси.

Gharik ()
Ответ на: Re: Анализ взлома сервера под линаксом от Gharik

Re: Анализ взлома сервера под линаксом

> Ломал явный лузир, ни модульных руткитов, ни скрытия следов, ни даже почищенных логов и хистори. Пипец, поколение пепси.

Ну вот и настало время когда каждый лузер может ломать не только венду, но и линакс. Вы думаете это уровень лузеров вырос? Нет это безопасность линакса упала. :)

anonymous ()

Re: Анализ взлома сервера под линаксом

Обыкновенный, типичный "хацкер", да еще и не особо опытный. Не интересно.

smh ★★★ ()
Ответ на: Re: Анализ взлома сервера под линаксом от anonymous

Re: Анализ взлома сервера под линаксом

>Ну вот и настало время когда каждый лузер может ломать не только венду, но и линакс. Вы думаете это уровень лузеров вырос? Нет это безопасность линакса упала. :)

вот не надо свои проблемы с эрекцией проецировать на безопасность linux ;)

просто нормальных админов слишком мало, вот разные альтернативно одарённые и админят линукс-боксы - можно глянуть в раздел admin почитать вопросы, которые задают, и всё становится понятно..

bsh ★★★ ()
Ответ на: Re: Анализ взлома сервера под линаксом от klalafuda

Re: Анализ взлома сервера под линаксом

Любые действия на _работающей_ системе могут привести к вашей идентификации, после чего троян/вирус/etc спокойно _полностью_ вытирает _все_ свои следы из памяти.

И suspend тут не поможет, ибо перехват этого события - элементарная для системного программиста задача.

birdie ★★★★★ ()
Ответ на: Re: Анализ взлома сервера под линаксом от klalafuda

Re: Анализ взлома сервера под линаксом

Читайте http://www.net-security.org/article.php?id=1040&p=2 для просветления:

Rule 1. An examination should never be performed on the original media.

Rule 2. A copy is made onto forensically sterile media. New media should always be used if available.

Rule 3. The copy of the evidence must be an exact, bit-by-bit copy. (Sometimes referred to as a bit-stream copy).

Rule 4. The computer and the data on it must be protected during the acquisition of the media to ensure that the data is not modified. (Use a write blocking device when possible)

Rule 5. The examination must be conducted in such a way as to prevent any modification of the evidence.

Rule 6. The chain of the custody of all evidence must be clearly maintained to provide an audit log of whom might have accessed the evidence and at what time.

Эксперты собрались, *ля.

birdie ★★★★★ ()
Ответ на: Re: Анализ взлома сервера под линаксом от Gharik

Re: Анализ взлома сервера под линаксом

>Ломал явный лузир, ни модульных руткитов, ни скрытия следов, ни даже почищенных логов и хистори. Пипец, поколение пепси.

Логи-то он потер как раз (см в тексте):

433 rm -rf /var/log/*

А вот bash_history забыл.

Zubok ★★★★★ ()
Ответ на: Re: Анализ взлома сервера под линаксом от Zubok

Re: Анализ взлома сервера под линаксом

> Логи-то он потер как раз (см в тексте):
> 433 rm -rf /var/log/*
> А вот bash_history забыл.

За такое "выдирание логов" не грех и по йайцам чугуниевым ломом. Потому как "ан-делит" и вперёд. Тем более, с чукотской традицией хранить логи на отдельной FS.

Gharik ()

Re: Анализ взлома сервера под линаксом

Чуваки, я видимо ламер, но я не понял. А как он рута-то получил? Это ж самое интересное...

voronaam ★★ ()
Ответ на: Re: Анализ взлома сервера под линаксом от voronaam

Re: Анализ взлома сервера под линаксом

> Чуваки, я видимо ламер, но я не понял. А как он рута-то получил? Это ж самое интересное...

Небось, как обычно скрипт-кидди и получают. Скан инета несколькими эксплойтами или подбор популярных паролей. У меня пока ssh на 22-м порту висел, 20-30 попыток подбора паролей в сутки регистрировалось.

AngryElf ★★★★★ ()
Ответ на: Re: Анализ взлома сервера под линаксом от voronaam

Re: Анализ взлома сервера под линаксом

>Чуваки, я видимо ламер, но я не понял. А как он рута-то получил? Это ж самое интересное...

Возможно, он и сам не понял =)

ManJak ★★★★★ ()
Ответ на: Re: Анализ взлома сервера под линаксом от router

Re: Анализ взлома сервера под линаксом

> "Забыть" в .bash_history свой ip - это надо быть клиническим идиотом

На месте преступления преступник оставил паспорт, права и визитку... ;-)

atrus ★★★★★ ()
Ответ на: Re: Анализ взлома сервера под линаксом от birdie

Re: Анализ взлома сервера под линаксом

> Такого анализатора убить мало - первое, что делают в таких случаях, вырубают из розетки питание (никаких там shutdown -t now)

И совершенно зря. :) Сначала надо снять dump памяти и пройтись по /proc/*/fd, посмотреть не осталось ли уже удаленных но еще открытых "доказательств" ...

anonymous ()
Ответ на: Re: Анализ взлома сервера под линаксом от AngryElf

Re: Анализ взлома сервера под линаксом

>У меня пока ssh на 22-м порту висел, 20-30 попыток подбора паролей в сутки регистрировалось.

я видел такой фряшный сервак, с ненастроенным толком ssh, и разрешённым удалённым рутом с убогим паролем :)

magesor ★☆ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.