forum.opennet.ru

Составление сообщения

Исходное сообщение

"Релиз systemd 189"
Отправлено Аноним, 25-Авг-12 16:03

> Зачем? Вначале нужно проанализировать изменения, внесённые злоумышленником в систему. Лучше всего работать с образом, на виртуалке. Определить, как был проведён взлом, дыры в каком ПО использовались.
Уверен что журналд тебе помощник в этом прям в стопицсот раз круче старого?
> Затем обратить внимание на изменённые бинари, сравнивая их с орининальными той же версии на другой виртуалке. Если хеш бинарей не совпадает, у вас появились новые бинарники или скрипты - это проблемма.
Подписанные пакеты надо ставить и юзать проверку пакетного менеджера.
> И только когда все программы гарантированно проверенны, все конфиги проверены и исправленны, и ни один зловре не обнаружен, мы на виртуалке же проводим апгрейд ПО, латая дыры, меняя некоторое ПО на аналогичное, но от другого производителя при необходимости.
Какое аналогичное ПО от другого производителя? Есть стандартные репы производителя подписанные ключами. Ставить из других мест ССЗБ.
> А со злоумышленниками стоит поиграть в медовую ловушку, дав им на некоторое время после обнаружения взлома ещё немного порезвиться с поломанной системой,но уже на виртуалке.
Нормальные люди резвятся ставя для этой цели хонипоты - специально. А не юзают боевую систему для другого предназначенную.
> Чем больше надёжных средств мониторинга у админа, тем скорее вашего хакера-недоучку поймают и жестоко накажут.
Что-нибудь в стиле осек и скидывание логов на удалённый сервак не лучше этой левой белиберды?

Исходное сообщение
"Релиз systemd 189" Отправлено Аноним, 25-Авг-12 16:03
> Зачем? Вначале нужно проанализировать изменения, внесённые злоумышленником в систему. Лучше всего работать с образом, на виртуалке. Определить, как был проведён взлом, дыры в каком ПО использовались. Уверен что журналд тебе помощник в этом прям в стопицсот раз круче старого? > Затем обратить внимание на изменённые бинари, сравнивая их с орининальными той же версии на другой виртуалке. Если хеш бинарей не совпадает, у вас появились новые бинарники или скрипты - это проблемма. Подписанные пакеты надо ставить и юзать проверку пакетного менеджера. > И только когда все программы гарантированно проверенны, все конфиги проверены и исправленны, и ни один зловре не обнаружен, мы на виртуалке же проводим апгрейд ПО, латая дыры, меняя некоторое ПО на аналогичное, но от другого производителя при необходимости. Какое аналогичное ПО от другого производителя? Есть стандартные репы производителя подписанные ключами. Ставить из других мест ССЗБ. > А со злоумышленниками стоит поиграть в медовую ловушку, дав им на некоторое время после обнаружения взлома ещё немного порезвиться с поломанной системой,но уже на виртуалке. Нормальные люди резвятся ставя для этой цели хонипоты - специально. А не юзают боевую систему для другого предназначенную. > Чем больше надёжных средств мониторинга у админа, тем скорее вашего хакера-недоучку поймают и жестоко накажут. Что-нибудь в стиле осек и скидывание логов на удалённый сервак не лучше этой левой белиберды?

Ваше сообщение

Имя*:

EMail:

Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

>> Зачем? Вначале нужно проанализировать изменения, внесённые злоумышленником в систему. Лучше всего работать с образом, на виртуалке.  Определить, как был проведён взлом, дыры в каком ПО использовались.

> Уверен что журналд тебе помощник в этом прям в стопицсот раз круче 
> старого?

>>  Затем обратить внимание на изменённые бинари, сравнивая их с орининальными той же версии на другой виртуалке. Если хеш бинарей не совпадает, у вас появились новые бинарники или скрипты - это проблемма.

> Подписанные пакеты надо ставить и юзать проверку пакетного менеджера.

>> И только когда все программы гарантированно проверенны, все конфиги проверены и исправленны, и ни один зловре не обнаружен, мы на виртуалке же проводим апгрейд ПО, латая дыры, меняя некоторое ПО на аналогичное, но от другого производителя при необходимости.

> Какое аналогичное ПО от другого производителя? Есть стандартные репы производителя подписанные 
> ключами. Ставить из других мест ССЗБ.

>> А со злоумышленниками стоит поиграть в медовую ловушку, дав им на некоторое время после обнаружения взлома ещё немного порезвиться с поломанной системой,но уже на виртуалке.

> Нормальные люди резвятся ставя для этой цели хонипоты - специально. А не 
> юзают боевую систему для другого предназначенную.

>> Чем больше надёжных средств мониторинга у админа, тем скорее вашего хакера-недоучку поймают и жестоко накажут.

> Что-нибудь в стиле осек и скидывание логов на удалённый сервак не лучше 
> этой левой белиберды?

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру