>Вы мне маленького ребенка напоминаете свой наивностью и старого деда постоянными повторами А вы мне напоминаете маркетологов из MS - "мы лучше знаем то что вам нужно - то что у нас есть!" :).Кстати оскорбления как минимум специально я не планирую.Может быть ехидничаю порой чрезмерно.Это уж извините, бывает.Попинывайтесь если напрягает.И не стоит воспринимать ругань и наезды на *технологии* на персонально свой счет.
>Теперь понял о чем вы. Ни разу не видел что бы подменяли/подгружали_свои
>модули ядра. Их ведь еще написать надо.
Такой дряни хакерами уже понаписано, к сожалению.Если вы это не видели - это еще не значит что оно не существует.
>Скрываются обычно подменой обычных сервисов,
Это только один из трюков.Достаточно легко обнаруживаемый.А вот модуль ядра это уже серьезно.Системные вызовы начинают врать в пользу хакера.И даже если вы достанете из запасов заведомо исправный бинарь энной тулзы, это не поможет - врет то система.В зависимости от навернутости руткита найти такое в системе такой может быть и очень нетривиально.Хотя и на такую дрянь есть свои методы (утилиты детектящие руткиты как правило дотошно сравнивают результаты разных системных вызовов в поисках аномалий, благо, везде и качественно приврать все-таки сложно и руткит может попасться как раз на создаваемых аномалиях).
>хотя бы даже так:
Ну, это просто.Я такое голыми руками отловлю.Да и проверка по MD5 (или любому иному хэшу) с треском провалится.А вот качественный кернельный руткит - лично я вот так сходу могу и не найти, такое разве что по косвенным признакам как-то обнаружить можно(например, если мы точно помним что траффика быть не должно а он "почему-то" все-таки есть).
>Создают диски в памяти и прочая. Весьма хорошо вылавливается это посредством chkrootkit.
Угу, есть тулзы.Но в теории кернельный руткит может быть полностью невидимым.На практике правда руткиты не идеально привирают, что их и демаскирует - в работе системы появляются аномалии которых нет в работе нормальной системы.Это можно отловить, правда, вышибить такой руткит тоже непросто.Скажем если кернель не хочет показывать вам некий файл d листингах и вообще не собирается его удалять даже если вы командуете - извините :P.Как правило полноценно разобраться с такой штукой можно только перезагрузившись с внешнего носителя (желательно readonly с заведомо исправной системой) и посмотрев на реальное состояние дел.
>что не обновленное ПО не страшно… root-а разве уже научились получать
>через дыру в phpBB?
Хаксорам сам по себе рут в общем не самоцель.Повесить прокся или бота или трояна и скажем, спамить вполне можно и от юзера.С рутом они просто могут дольше оставаться незамеченными (при помощи руткитов и прочих фокусов типа бояна с админом в chroot или jail где лежит неизменная копия системы так что админ так сходу вообще не видит лишнего в ФС).Но вы то говорите о погано администряемом сервере, где админ не может даже систему проапдейтить, не так ли?А на таком сервере админ и появляется только по праздникам, когда что-то навернулось.Там руткиты в общем то излишество.Руткиты скорее логично использовать чтобы водить за нос не очень тупых админов.Тупые и без руткита ничего не заметят :)
>А скрипты соседних сайтов так же можно просматривать через любого пользователя?
В нормальном случае (хостингу не пофиг на секурити) - нельзя по идее.Но хацкеры тоже не лыком шиты.И умеют преподнести нестандартные сюрпризы.В статье про то как сломать защищенный интранет через сайт конторы на помойке типа мастерхоста хацкеры обыграли мастерхост на каком-то дешевом трюке.
Влом искать ту статью, поэтому попробую написать что МНЕ в голову приходит и общую идею(уж не пинайтесь если неточности, я не хацкер и это лишь для общего представления).Если админ сайта олух и веб-софт допустим, с известным багом типа php-inclusion (или эквивалентное) - админ сайта потенциально влип.Админы хостинга однако если они грамотные могут и подыграть, например, запретив настройками PHP загрузку файлов с ремотных серверов по URLам, так что просто выложить свой файл на произвольный хост и заинклюдить оттуда на грамотном хостинге типа мастерхоста не прокатит (сайты с тупыми админами хостинга в этом месте знакомятся с штуками типа r57shell, дальнейшее понятно).А на более защищенном хостинге ничто не помешает слепить сайт (или расхакать какой-то совсем уж защищенный сайт Васи Пупкина) с получением прав на запись в какой-то соседний каталог на той же машине что и атакуемый сайт.Вот тут "общественная помойка" и сыграет свою роль.Имеючи доступ на запись, а хоть и не в диру вражеского сайта а в свою, можно положить у себя в дире нужный скрипт, дать него права на доступ всем подряд ну и дальше спокойно выполнить инклюд на дырявом сайте, уже с локальной ФС и без всяких урлов.Не уверен что четко изложил идею но главная проблема - что хацкер в случае "shared помойки" может априори излишне фривольно ианипулировать файловой системой на машине с атакуемым сайтом.Для начала у него там или есть доступ или это очень несложно достигается.
>Кстати чего-чего, а вот текущая структура каталогов
>и прав у ИСП продумана хорошо и соседние юзеры, как вы
>писали про мастерхост, ваши данные не увидят.
Да, в той статейке кстати хакеры позитивно оценили работу админов мастерхоста.Но природа shared помойки которая дает хакерам слишком много средств для левых действий от которых даже грамотные админы не спасут если сайт хоть немного дырявый.На приватном серваке с эквивалентными по затяжке гаек настройками есть один козырь: хацкер для начала вообще никакого доступа к ФС не имеет изначально.Что усложняет задачу по сравнению с shared хостингом.А на shared хостинге еще и максимально затянуть гайки все-таки нельзя - у юзеров не будет почти ничего работать и им это не понравится.
>>Боюсь что юзеров которые одобрят перезагрузку VDS без спроса - немного.
>Бойтесь, я вам по бооольшому секрету скажу, что 90% пользователей даже и
>не замечают перезагрузки,
Расскажите это юзерам firstvds :D.Почему-то знакомые поюзали его да поняв что за качество - свалили.Кто-то поставил серваки на приличных и стабильных VDS, кто-то дома поставил старый комп на антресоль.В первом случае лучше, в втором - как минимум не хуже.Broadband нынче стабильный, статичный айпи можно и купить а Win95 на сервер можно и не ставить.Так что даже пыльный хлам на антресоли будет стабильнее чем вдски у firstvds.При том "условно бесплатно" даже.
>еще 5% не видят ничего страшного в паре минут простоя, тем более, что это надо.
Вам надо - вы и наслаждайтесь таким "сервисом", я разве против?А я за свои деньги не хочу иметь секс с постоянными рестартами сервака без предупреждения + падучим каналом.
>>Если честно то в гробу я видел счастье что кто-то будет без спроса трогать мои файлы.
>Если вы боитесь за свою интеллектуальную собственность, то быстренько на свой сервак
>перебирайтесь,
Технически много кто и чего может.Сервак в датацентре тоже в принципе могут и руками потрогать и даже с своего носителя стартануть для изучения.А если вспомнить сервер razorback (ed2k) - оказывается его могут еще и изъять вообще.И чего?
>Бекапы на корневом сервере делаются перво-наперво в технических целях,
Я думаю что если уж хостер хочет что-то забэкапать - он и виртуозу и прочие виртуализаторы забэкапать сможет при должном желании.На самом деле в jail мне не нравится сам факт неполной развязки с хост-системой и всем остальным.Общественной помойкой типа shared хостинга слегка отдает.Проблемы в чем-то похожие и проистекают из неполного разделения ресурсов, это и неудобства создает типа перезагрузок и гарантии того что отдельные пользователи никак не проабузят слишком хилое разделение ресурсов - не густо.Нормальные виртуализаторы избавлены от этого геморроя, заботятся об изоляции, честной дележке ресурсов и прочая.Да, может быть легковесная виртуализация и чуть тяжелее чем jail.Но куда легче полновесной виртуализации.А потому популярна.И с этим придется жить.Если BSD это не умеет - это сугубо проблемы BSD.Значит в этом качестве будут использовать другие системы, которые это умеют - тут все просто.
