The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка  RSS
"OpenNews: Защита от троянских программ и руткитов в FreeBSD"
Вариант для распечатки Архивированная нить - только для чтения! 
Пред. тема | След. тема 
Форумы Разговоры, обсуждение новостей (Public)
Изначальное сообщение [Проследить за развитием треда]

"OpenNews: Защита от троянских программ и руткитов в FreeBSD"
Сообщение от opennews on 18-Июн-04, 14:59 
Новый перевод из собрания сочинений Дрю Лавинь - о защите от троянов и руткитов. Кратко рассказано о методах определения факта внедрения троянской программы в систему, проверка целостности ФС при помощи tripwire.

URL: http://unix.ginras.ru/freebsd/articles/trojan-and-rootkits.html
Новость: http://www.opennet.dev/opennews/art.shtml?num=3997

Cообщить модератору | Наверх | ^

 Оглавление

Сообщения по теме [Сортировка по времени, UBB]


1. "Защита от троянских программ и руткитов в FreeBSD"
Сообщение от dryupitz email on 18-Июн-04, 14:59 
cannot resolve unix.ginras.ru: Host name lookup failure
Cообщить модератору | Наверх | ^

2. "Защита от троянских программ и руткитов в FreeBSD"
Сообщение от toor99 email(??) on 18-Июн-04, 17:36 
Ну, так себе... Ничего нового.
Cообщить модератору | Наверх | ^

3. "Да уж. Хотелось бы, чтобы редакторы не опускались до маразма..."
Сообщение от Банзай email on 18-Июн-04, 22:54 
Да уж. Хотелось бы, чтобы редакторы не опускались до маразма, присваивая заголовки.
Cообщить модератору | Наверх | ^

4. "Защита от троянских программ и руткитов в FreeBSD"
Сообщение от Дмитрий Ю. Карпов www.prof.pi2.ru email on 18-Июн-04, 23:05 
Глупость какая-то - автор знает о возможности замены программ, но предлагает полагаться на netsts и sockstat. А вот выставить особо важным файлам флаг, запрещающий изменение и переименование файла (man chflags), а затем усилить security_level до неыозможности снять этот флаг - до этого автор не додумался... :-(

PS: До чего же обидно искать на этом сайте мудрости, а обнаружить, что я умнее многих авторов... :-(

Cообщить модератору | Наверх | ^

5. "Защита от троянских программ и руткитов в FreeBSD"
Сообщение от much on 19-Июн-04, 05:23 
Дмитрий, (оговорюсь: я не автор этой статьи) вы себе явно льстите :)
Cообщить модератору | Наверх | ^

6. "Защита от троянских программ и руткитов в FreeBSD"
Сообщение от Алексей Федорчук email on 19-Июн-04, 12:37 
Так чего бы не привнести в авторский коллектив своей мудрости?
Cообщить модератору | Наверх | ^

8. "Защита от троянских программ и руткитов в FreeBSD"
Сообщение от toor99 email(ok) on 20-Июн-04, 15:10 
Правильное решение. А потом, при обновлении системы, либо матерясь про себя писать скрипт, который эти файлы будет отыскивать, либо отыскивать бумажку, на которой записано, для каких файлов был изменен этот флажок. Плюс перезагрузка для того, чтобы поменять securelevel.
Дмитрий, Вы теоретик до мозга костей, в этом мнении я утверждаюсь всё больше и больше. Жизнь сложнее учебных методичек, знаете ли.
Cообщить модератору | Наверх | ^

9. "Защита от троянских программ и руткитов в FreeBSD"
Сообщение от Дмитрий Ю. Карпов www.prof.pi2.ru email on 20-Июн-04, 15:44 
> Правильное решение. А потом, при обновлении системы, либо матерясь про себя
> писать скрипт, который эти файлы будет отыскивать, либо отыскивать бумажку,
> на которой записано, для каких файлов был изменен этот флажок.

Скрипты рулят - и устанавливать, и снимать флажок надо скриптом.

> Плюс перезагрузка для того, чтобы поменять securelevel.

Дык фишка как раз в том, чтобы затруднить жизнь вломщику. Но как известно, всякий дополнительный замОк хояин будет вынужден открывать и закрывать.

> Дмитрий, Вы теоретик до мозга костей, в этом мнении я утверждаюсь
> всё больше и больше. Жизнь сложнее учебных методичек, знаете ли.

Вообще-то, мы тут обсуждаем как раз учебную методичку. Я не требовал поголовного применения этого метода, но упомянуть его надо было обязательно.

Cообщить модератору | Наверх | ^

11. "Защита от троянских программ и руткитов в FreeBSD"
Сообщение от Алексей (??) on 21-Июн-04, 09:35 
Тогда уже mount -o ro / & /usr + применение ACL & ext attrib на FS это меньше бросается в глаза чем chflags.
Но каким образом это защитит если взломщик _уже_ имеет права рута после взлома какого нить сервиса ?
Надеятся что взломщик не подчистит за собой всех логов - и ты обнаружиш факт перезагрузки, мягко скажем неприходится.
База md5 от файлов не сильно тоже поможет - не так давно пролетал примерчик ядерного модуля который перехватывает открытие\чтение файла = и вполне может подсовывать эталонный файл под проверку и только довереному приложению показывать реальную картину.

Cообщить модератору | Наверх | ^

10. ">PS: До чего же обидно искать на этом сайте мудрости"
Сообщение от poige (??) on 20-Июн-04, 19:41 
>Глупость какая-то - автор знает о возможности замены программ, но предлагает полагаться
>на netsts и sockstat. А вот выставить особо важным файлам флаг,
>запрещающий изменение и переименование файла (man chflags), а затем усилить security_level
>до неыозможности снять этот флаг - до этого автор не додумался...
>:-(

Во-первых, это НЕ факт, что не додумался. Может же быть так,
что автор просто не написал об этом. Для другой статьи приберег.
В общем, как знать? Не глупо ли заявлять в таком случае о
глупости автора?

Во-вторых, ну написал бы автор про security level... и что? :-)

Его можно было бы обвинить в том, что не додумался до описания (или изучения) MAC

  http://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/mac.html

"jail", (а может vmware?) и т. п. и т. д.

>PS: До чего же обидно искать на этом сайте мудрости, а обнаружить,
>что я умнее многих авторов... :-(

Чего тут скажешь... может быть вы ленитесь искать в другом месте
(или подсознательно этого избегаете)?

Вообще, конечно, понимаю, что типичному представителю вида
"гомо сапиенс" обычно хочется, чтобы все блага мира были в
одном конкретном месте (да поближе), отсортированными, и
готовыми к немедленному употреблению, но "се ля ви не", если
можно так выразиться.

:-)

P. S. На тему пресловутого security level:

  http://www.security.nnov.ru/search/news.asp?binid=3762

  http://archives.neohapsis.com/archives/freebsd/2001-05/thread.html#225

И netstat:

  http://www.mail-archive.com/freebsd-hackers@freebsd.org/msg27354.html

Желаю вам уравновешенности. Считаю, прочитав не один ваш постинг
(особенно касательно СПАМА), она вам не помешает.

/poige
--
http://www.i.morning.ru/~poige/

Cообщить модератору | Наверх | ^

12. ">PS: До чего же обидно искать на этом сайте мудрости"
Сообщение от Дмитрий Ю. Карпов email on 21-Июн-04, 16:30 
Алексей:
> Тогда уже mount -o ro / & /usr + применение ACL & ext attrib
> на FS это меньше бросается в глаза чем chflags.

RO на файловую системы - тоже неплохо, но в отличие от флагов, это пробивается командой mount при наличии root-прав.

> Но каким образом это защитит если взломщик
> _уже_ имеет права рута после взлома какого нить сервиса?

Даже root при суровом уровне защиты не может снять некоторые флаги. Если эти флаги защиты выставлены в т.ч. на стартовые скрипты и запускаемые ими программы, то для снятия этих флагов нужны ручные манипуляции при загрузке системы типа загрузки в однопользовательском режиме. Но эти манипулчции можно проводить только с консоли, но не по сетИ.
=>, мы получаем взломоустойчивую систему. Правда, нужно ещё разобраться со списком файлов, которым необходима защита.

> Надеятся, что взломщик не подчистит за собой всех логов -
> и ты обнаружиш факт перезагрузки, мягко скажем неприходится.

Для этого можно наладить отсылку логов на спец.машину, доступ к которой возможен только с консоли (из демонов там только syslogd). Нет предела паранойи! :-)


poige:
> Во-первых, это НЕ факт, что не додумался. Может же быть так,
> что автор просто не написал об этом. Для другой статьи приберег.
> В общем, как знать? Не глупо ли заявлять в таком случае о глупости автора?

Если не написАл, то должен был упомянуть об этом и о др.способах, дабы мы знали, куда копать дальше.
А если приберёг для др.статьи, то т.б. должен был упомянуть, дабы заинтересовать читателей.

А вот в jail можно сажать далеко не все процессы, которые м.б. захвачены взломщиком.

> Чего тут скажешь... может быть вы ленитесь искать в другом месте
> (или подсознательно этого избегаете)?

Дык посоветуйте.

> Вообще, конечно, понимаю, что типичному представителю вида
> "гомо сапиенс" обычно хочется, чтобы все блага мира
> были в одном конкретном месте (да поближе),
> отсортированными, и готовыми к немедленному употреблению,

Из всех мест, где я бывал, http://www.opennet.dev и http://www.citforum.ru наиболее близки к желаемому.

Cообщить модератору | Наверх | ^

Удалить

Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру