|
|
3.6, Аноним (-), 15:25, 03/10/2011 [^] [^^] [^^^] [ответить]
| –1 +/– |
А там написано как искать в нем вирусы, а то хомячки негодуют =)
| |
|
4.12, Аноним (-), 22:01, 03/10/2011 [^] [^^] [^^^] [ответить]
| +/– |
> А там написано как искать в нем вирусы, а то хомячки негодуют
> =)
А у них есть вирус в BIOS? Реквестирую дампы!
| |
|
5.14, Аноним (-), 22:39, 03/10/2011 [^] [^^] [^^^] [ответить]
| +/– |
В любое ПО можно встроить вредоносный код, какие проблемы-то? :)
| |
5.15, greenman (ok), 11:16, 04/10/2011 [^] [^^] [^^^] [ответить]
| +/– |
> А у них есть вирус в BIOS? Реквестирую дампы!
Добро пожаловать в дивный новый мир:
www.securelist.com/ru/analysis/208050716/MYBIOS_Vozmozhno_li_zarazit_BIOS
(раньше и сам был настроен весьма скептически).
| |
|
6.16, Аноним (-), 17:23, 04/10/2011 [^] [^^] [^^^] [ответить]
| +/– |
Да чего там дивного? Примитивная хреновина собирающая биос авардовской же утилей. Работает только на авардбиосе, только если защита от записи не включена, сам авардовский утиль далеко не всегда работает корректно с произвольной версией биоса и прочая. Весьма топорно сработано.
| |
|
7.18, greenman (ok), 18:15, 04/10/2011 [^] [^^] [^^^] [ответить]
| +/– |
> ... только если защита от записи не включена
Что-то я давно не видел массовых МБ с перемычкой, запрещающей запись...
| |
|
8.26, Аноним (-), 14:26, 11/10/2011 [^] [^^] [^^^] [ответить] | +/– | Давно уж в BIOS Setup засунуто, BIOS щелкает перемычкой выставляя GPIO линии ч... текст свёрнут, показать | |
|
|
|
|
|
|
|
1.5, Аноним (-), 14:39, 03/10/2011 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Мануал, я так понимаю, относится к большей степени к разработчикам ядра, чтобы они смогли проверить свои компьютеры? :)
| |
|
2.7, another_anoymous (?), 17:07, 03/10/2011 [^] [^^] [^^^] [ответить]
| +/– |
> Мануал, я так понимаю, относится к большей степени к разработчикам ядра, чтобы
> они смогли проверить свои компьютеры? :)
Мануал относится ко всем имеющим linux и желающим проверить систему на предмет возможного взлома использую подручные средства.
Хотя правильней всего установить какую-нибудь IDS.
| |
|
1.8, lol (??), 18:54, 03/10/2011 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
> dpkg -l \*|while read s n rest; do if [ "$s" == "ii" ]; then echo $n;
> fi; done > ~/tmp.txt
> for f in 'cat ~/tmp.txt'; do debsums -s -a $f; done
Чуваки не слышали об awk?
| |
|
|
3.10, anonymous (??), 20:30, 03/10/2011 [^] [^^] [^^^] [ответить]
| +/– |
А кто говорил что тама сервак под федорой был :(
Во первых не нужно удалять а потом ставить пакет есть такая
команада: yum reinstall
Во вторых нужно быть тормознутым, долб... ослом чтобы в 21 веке юзать федору
как сервис инета и выклюачать СЕЛинукс !
Буду рад когда до этих ослов дойдет, иначе пусть ломают их хоть каждый день !
| |
|
2.13, gegMOPO4 (ok), 22:36, 03/10/2011 [^] [^^] [^^^] [ответить]
| +/– |
Первым делом переписал с использованием awk:
dpkg -l \* | awk '$1=="ii" {print $2}' | xargs debsums -s -a
| |
|
1.20, Николай (??), 11:41, 05/10/2011 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Спасибо, возьму на заметку, а то как правило при обнаружении взлома продакшн системы читать топики в интернете нет времени.
| |
1.21, Nas_tradamus (ok), 17:18, 06/10/2011 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Вроде в статье нет упоминаний о уязвимостях типа "hard-link attack" - это когда удаляешь уязвимый пакет, а хард-лин на уязвимый файл остается.
| |
|
2.22, csdoc (ok), 23:31, 06/10/2011 [^] [^^] [^^^] [ответить]
| +/– |
в п.7 они ж говорят, после этого - полностью с нуля переставить всю систему.
что и будет защитой от такого типа атак.
| |
|
1.24, pavlinux (ok), 14:59, 09/10/2011 [ответить] [﹢﹢﹢] [ · · · ]
| –2 +/– |
Блин, мужуки, надо искать причину, а не следствие атаки.
То, что я переустановлю фейковый ssh легче не станет.
| |
|
2.28, Аноним (-), 14:31, 11/10/2011 [^] [^^] [^^^] [ответить]
| –2 +/– |
> То, что я переустановлю фейковый ssh легче не станет.
А где ты взял фэйковый ssh чтобы его переустановить?
| |
|
1.32, паранойя_форева (?), 10:25, 14/11/2011 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
какаято наивная статья, почти ничо не описано где искать следы
хацккер может еще
1) в /home/user/* засунуть чтонибудь, например .profile свой, или в .kde/share/config/kdedrc свои модули прописать для kde, или свой скринсейвер в настройках прописать, кароч большое поле для деятельности -- все это проверяется через mtime
2)первичные программы, библиотеки и модули,ядро и скрипты (в /etc или /usr/share) заменить на свои, -- иметь контрольную сумму md5sum для всех файлов этих каталогов и после взлома посмотреть atime для последних запускаемых файлов этих каталогов для выявления типа атаки и наличие троянов
3)поменять настройки в /etc или /usr/share -- проверять md5sum и mtime
4)залезть в каталог дестрибутивов и там прописать трояны в программах или исходниках -- иметь md5sum всех файлов на отдельном носителе и посмотреть atime и mtime
5)поменять права у исполнимых файлов с целью облегчения запуска или возможной модификации -- хранить lsmod каталогов на отдельном носителе
6)модифицировать BIOS системной платы или видеокарты(мож еще какие биосы при загрузке запускаются, не помню) -- иметь сохраненные дампы биос и их прошивки для восстановления
7)заменить файлы или каталоги в /tmp на свои или со своими правами -- хранить ls -RFlnt /tmp на отдельном носителе
8)заменить /var/log/* на свои -- следить чтобы ctime каждого лога ctime не было больше mtime
9)сделать то, что я за не успел придумать за час писания этого коментария
| |
1.33, yun (?), 23:40, 12/12/2011 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
ага, на боевом сервере на другом конце земли service sshd stop; rpm -e openssh
Делается это так: yum reinstall openssh, далее service sshd restart
Надо помнить что при реинстале конфиги не переустанавливаются, поэтому либо удаляем их пере реинсталом и заново настраиваем, либо вытаскиваем из бэкапов (опять таки после реинстала)
| |
1.34, yun (?), 23:41, 12/12/2011 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Опять же перед тем как делать reinstall смотрим куда смотрят репозитарии
| |
|