forum.opennet.ru

Составление сообщения

Исходное сообщение

"Проверка Linux-системы на наличие следов взлома"
Отправлено паранойя_форева, 14-Ноя-11 10:25

какаято наивная статья, почти ничо не описано где искать следы
хацккер может еще
1) в /home/user/* засунуть чтонибудь, например .profile свой, или в .kde/share/config/kdedrc свои модули прописать для kde, или свой скринсейвер в настройках прописать, кароч большое поле для деятельности -- все это проверяется через mtime
2)первичные программы, библиотеки и модули,ядро и скрипты (в /etc или /usr/share) заменить на свои, -- иметь контрольную сумму md5sum для всех файлов этих каталогов и после взлома посмотреть atime для последних запускаемых файлов этих каталогов для выявления типа атаки и наличие троянов
3)поменять настройки в /etc или /usr/share -- проверять md5sum и mtime
4)залезть в каталог дестрибутивов и там прописать трояны в программах или исходниках -- иметь md5sum всех файлов на отдельном носителе и посмотреть atime и mtime
5)поменять права у исполнимых файлов с целью облегчения запуска или возможной модификации -- хранить lsmod каталогов на отдельном носителе
6)модифицировать BIOS системной платы или видеокарты(мож еще какие биосы при загрузке запускаются, не помню) -- иметь сохраненные дампы биос и их прошивки для восстановления
7)заменить файлы или каталоги в /tmp на свои или со своими правами -- хранить ls -RFlnt /tmp на отдельном носителе
8)заменить /var/log/* на свои -- следить чтобы ctime каждого лога ctime не было больше mtime
9)сделать то, что я за не успел придумать за час писания этого коментария

Исходное сообщение
"Проверка Linux-системы на наличие следов взлома" Отправлено паранойя_форева, 14-Ноя-11 10:25
какаято наивная статья, почти ничо не описано где искать следы хацккер может еще 1) в /home/user/* засунуть чтонибудь, например .profile свой, или в .kde/share/config/kdedrc свои модули прописать для kde, или свой скринсейвер в настройках прописать, кароч большое поле для деятельности -- все это проверяется через mtime 2)первичные программы, библиотеки и модули,ядро и скрипты (в /etc или /usr/share) заменить на свои, -- иметь контрольную сумму md5sum для всех файлов этих каталогов и после взлома посмотреть atime для последних запускаемых файлов этих каталогов для выявления типа атаки и наличие троянов 3)поменять настройки в /etc или /usr/share -- проверять md5sum и mtime 4)залезть в каталог дестрибутивов и там прописать трояны в программах или исходниках -- иметь md5sum всех файлов на отдельном носителе и посмотреть atime и mtime 5)поменять права у исполнимых файлов с целью облегчения запуска или возможной модификации -- хранить lsmod каталогов на отдельном носителе 6)модифицировать BIOS системной платы или видеокарты(мож еще какие биосы при загрузке запускаются, не помню) -- иметь сохраненные дампы биос и их прошивки для восстановления 7)заменить файлы или каталоги в /tmp на свои или со своими правами -- хранить ls -RFlnt /tmp на отдельном носителе 8)заменить /var/log/* на свои -- следить чтобы ctime каждого лога ctime не было больше mtime 9)сделать то, что я за не успел придумать за час писания этого коментария

Ваше сообщение
Имя*:
EMail:	Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email). Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.
Заголовок*:
Сообщение*:	> какаято наивная статья, почти ничо не описано где искать следы > хацккер может еще > 1) в /home/user/* засунуть чтонибудь, например .profile свой, или в .kde/share/config/kdedrc > свои модули прописать для kde, или свой скринсейвер в настройках прописать, > кароч большое поле для деятельности -- все это проверяется через mtime > 2)первичные программы, библиотеки и модули,ядро и скрипты (в /etc или /usr/share) заменить > на свои, -- иметь контрольную сумму md5sum для всех файлов этих > каталогов и после взлома посмотреть atime для последних запускаемых файлов этих > каталогов для выявления типа атаки и наличие троянов > 3)поменять настройки в /etc или /usr/share -- проверять md5sum и mtime > 4)залезть в каталог дестрибутивов и там прописать трояны в программах или исходниках > -- иметь md5sum всех файлов на отдельном носителе и посмотреть atime > и mtime > 5)поменять права у исполнимых файлов с целью облегчения запуска или возможной модификации > -- хранить lsmod каталогов на отдельном носителе > 6)модифицировать BIOS системной платы или видеокарты(мож еще какие биосы при загрузке запускаются, > не помню) -- иметь сохраненные дампы биос и их прошивки для > восстановления > 7)заменить файлы или каталоги в /tmp на свои или со своими правами > -- хранить ls -RFlnt /tmp на отдельном носителе > 8)заменить /var/log/* на свои -- следить чтобы ctime каждого лога ctime не > было больше mtime > 9)сделать то, что я за не успел придумать за час писания этого > коментария
	Введите код, изображенный на картинке:

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру