The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Проверка Linux-системы на наличие следов взлома
В процессе разбора истории со взломом  kernel.org было выявлено, что
атаковавшим удалось установить вредоносное ПО на Linux-машины некоторых
разработчиков, используя которое были перехвачены ключи доступа. В списке
рассылки разработчиков ядра Linux опубликована краткая инструкция по
проверке целостности системы и выявлению следов активности злоумышленников.
Суть опубликованных рекомендаций изложена ниже.

Одним из очевидных способов гарантировать чистоту системы от активности
злоумышленников является переустановка системы с нуля. Но прежде чем прибегнуть
к переустановке, следует убедиться, что система действительно поражена. Чтобы
обеспечить выявление скрывающих свое присутствие руткитов проверку желательно
выполнять загрузившись с LiveCD.


1. Установка и запуск специализированных инструментов для выявления руткитов, например,
chkrootkit, ossec-rootcheck и rkhunter.
При запуске утилиты rkhunter возможно ложное срабатывание на некоторых системах
с Debian. Вызывающие ложные срабатывания факторы описаны в файле /usr/share/doc/rkhunter/README.Debian.gz


2. Проверка корректности сигнатур для всех установленных в системе пакетов.
Для дистрибутивов на базе RPM:

   rpm --verify --all

Для дистрибутивов с dpkg следует использовать скрипт:

   dpkg -l \*|while read s n rest; do if [ "$s" == "ii" ]; then echo $n;
   fi; done > ~/tmp.txt
   for f in `cat ~/tmp.txt`; do debsums -s -a $f; done

Утилиту debsums следует установить отдельно:
   sudo apt-get install debsums

Вывод измененных файлов:
   debsums -ca

Вывод измененных файлов конфигурации:
   debsums -ce

Посмотреть пакеты без контрольных сумм:
   debsums -l

Другой вариант контрольных сумм для файлов в Debian:

   cd /var/lib/dpkg/info
   cat *.md5sums | sort > ~/all.md5
   cd /
   md5sum -c ~/all.md5 > ~/check.txt 2>&1
   

3. Проверка на то, что установленные пакеты действительно подписаны
действующими цифровыми подписями дистрибутива.

Для систем на базе пакетного менеджера RPM:

   for package in `rpm -qa`; do
      sig=`rpm -q --qf '%{SIGPGP:pgpsig}\n' $package`
      if [ -z "$sig" ] ; then
         # check if there is a GPG key, not a PGP one
         sig=`rpm -q --qf '%{SIGGPG:pgpsig}\n' $package`
         if [ -z "$sig" ] ; then
             echo "$package does not have a signature!!!"
         fi
     fi
   done



4. При выявлении подозрительных пакетов их желательно удалить и установить заново.

Например, для переустановки ssh в дистрибутивах на базе RPM следует выполнить:

	/etc/init.d/sshd stop
	rpm -e openssh
	zypper install openssh	# для openSUSE
	yum install openssh	# для Fedora

Рекомендуется проделать эти операции, загрузившись с LiveCD и используя опцию 'rpm --root'.

5. Проверка целостности системных скриптов в /etc/rc*.d и выявление
подозрительного содержимого в /usr/share. Эффективность выполнения проверок
можно гарантировать только при загрузке с LiveCD.

Для выявления директорий в /usr/share, которые не принадлежат каким-либо
пакетам в дистрибутивах на базе RPM можно использовать следующий скрипт:

   for file in `find /usr/share/`; do
      package=`rpm -qf -- ${file} | grep "is not owned"`
      if [ -n "$package" ] ; then
         echo "weird file ${file}, please check this out"
      fi
   done

В Debian для определения какому пакету принадлежит файл следует использовать "dpkg-query -S":

   for file in `find /usr/share/GeoIP`; do
      package=`dpkg-query -S ${file} 2>&1 | grep "not found"`
      if [ -n "$package" ] ; then
         echo "weird file ${file}, please check this out"
      fi
   done


Аудит suid root программ:

   find / -user root -perm -4000 -ls

6. Проверка логов на предмет наличия нетипичных сообщений:

* Проверить записи в wtmp и /var/log/secure*, обратив особое внимание на
соединения с внешних хостов.
* Проверить упоминание обращения к /dev/mem;
* В /var/log/secure* посмотреть нет ли связанных с работой ssh строк с не
текстовой информацией в поле версии, которые могут свидетельствовать о попытках взлома.
* Проверка удаления файлов с логами, например, может не хватать одного файла с ротацией логов.
* Выявление подозрительных соединений с локальной машины во вне, например,
отправка email или попытки соединения по ssh во время вашего отсутствия.
* Анализ логов пакетного фильтра с целью выявления подозрительных исходящих
соединений. Например, даже скрытый руткитом бэкдор может проявить себя в логах
через резолвинг DNS. Общая рекомендация сводится к контролю на промежуточном
шлюзе соединений во вне для только принимающих внешние соединения машин и
соединений из вне для только отправляющих запросы клиентских машин.

7. Если в процессе проверки обнаружен факт проникновения злоумышленника следует
сделать копию дисковых разделов на отдельный носитель при помощи команды "dd" с
целью более подробного анализа методов проникновения. Только после этого можно
полностью переустановить всю систему с нуля. Одновременно нужно поменять все
пароли и ключи доступа, уведомив об инциденте администраторов серверов, на
которых осуществлялась удаленная работа.
 
Ключи: check, security, rootkit, linux, rpm, deb, redhat, fedora, debian, ubuntu / Лицензия: CC-BY
Раздел:    Корень / Безопасность / Шифрование, PGP

Обсуждение [ Линейный режим | Показать все | RSS ]
  • 1.1, Его Величество Анонимус (?), 11:08, 03/10/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > $ apt-file search debsums
    >

    Где?

     
     
  • 2.2, Аноним (-), 11:10, 03/10/2011 [^] [^^] [^^^] [ответить]  
  • +/
    sudo apt-get install debsums
     
  • 2.31, анон (?), 07:52, 26/10/2011 [^] [^^] [^^^] [ответить]  
  • +/
    http://packages.debian.org/stable/debsums
     

  • 1.3, Аноним (-), 12:26, 03/10/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А как же на счет вирусов сидящих в BIOS? :)
     
     
  • 2.4, аноним2 (?), 13:10, 03/10/2011 [^] [^^] [^^^] [ответить]  
  • +1 +/
    man coreboot :)
     
     
  • 3.6, Аноним (-), 15:25, 03/10/2011 [^] [^^] [^^^] [ответить]  
  • –1 +/
    А там написано как искать в нем вирусы, а то хомячки негодуют =)
     
     
  • 4.12, Аноним (-), 22:01, 03/10/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > А там написано как искать в нем вирусы, а то хомячки негодуют
    > =)

    А у них есть вирус в BIOS? Реквестирую дампы!


     
     
  • 5.14, Аноним (-), 22:39, 03/10/2011 [^] [^^] [^^^] [ответить]  
  • +/
    В любое ПО можно встроить вредоносный код, какие проблемы-то? :)
     
     
  • 6.23, samm (ok), 16:07, 08/10/2011 [^] [^^] [^^^] [ответить]  
  • +/
    В хомячках слишком мало места.
     
  • 5.15, greenman (ok), 11:16, 04/10/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > А у них есть вирус в BIOS? Реквестирую дампы!

    Добро пожаловать в дивный новый мир:

    www.securelist.com/ru/analysis/208050716/MYBIOS_Vozmozhno_li_zarazit_BIOS


    (раньше и сам был настроен весьма скептически).

     
     
  • 6.16, Аноним (-), 17:23, 04/10/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Да чего там дивного? Примитивная хреновина собирающая биос авардовской же утилей. Работает только на авардбиосе, только если защита от записи не включена, сам авардовский утиль далеко не всегда работает корректно с произвольной версией биоса и прочая. Весьма топорно сработано.
     
     
  • 7.18, greenman (ok), 18:15, 04/10/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > ... только если защита от записи не включена

    Что-то я давно не видел массовых МБ с перемычкой, запрещающей запись...


     
     
  • 8.26, Аноним (-), 14:26, 11/10/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Давно уж в BIOS Setup засунуто, BIOS щелкает перемычкой выставляя GPIO линии ч... текст свёрнут, показать
     
  • 7.19, greenman (ok), 18:16, 04/10/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > Да чего там дивного?

    Кстати, погуглите по фразе дивный новый мир.

     
     
  • 8.27, Аноним (-), 14:29, 11/10/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Годно Зацитирую ка я кусочек из викии -------- Действие романа разворачивае... текст свёрнут, показать
     

  • 1.5, Аноним (-), 14:39, 03/10/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Мануал, я так понимаю, относится к большей степени к разработчикам ядра, чтобы они смогли проверить свои компьютеры? :)
     
     
  • 2.7, another_anoymous (?), 17:07, 03/10/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > Мануал, я так понимаю, относится к большей степени к разработчикам ядра, чтобы
    > они смогли проверить свои компьютеры? :)

    Мануал относится ко всем имеющим linux и желающим проверить систему на предмет возможного взлома использую подручные средства.
    Хотя правильней всего установить какую-нибудь IDS.

     

  • 1.8, lol (??), 18:54, 03/10/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > dpkg -l \*|while read s n rest; do if [ "$s" == "ii" ]; then echo $n;
    >   fi; done > ~/tmp.txt
    >   for f in 'cat ~/tmp.txt'; do debsums -s -a $f; done

    Чуваки не слышали об awk?

     
     
  • 2.9, Michael Shigorin (ok), 19:16, 03/10/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > Чуваки не слышали об awk?

    Грег же написал английским по фоновому -- "_bash_ snippet". :)

     
     
  • 3.10, anonymous (??), 20:30, 03/10/2011 [^] [^^] [^^^] [ответить]  
  • +/
    А кто говорил что тама сервак под федорой был :(

    Во первых не нужно удалять а потом ставить пакет есть такая
    команада: yum reinstall

    Во вторых нужно быть тормознутым, долб... ослом чтобы в 21 веке юзать федору
    как сервис инета и выклюачать СЕЛинукс !

    Буду рад когда до этих ослов дойдет, иначе пусть ломают их хоть каждый день !

     
  • 2.13, gegMOPO4 (ok), 22:36, 03/10/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Первым делом переписал с использованием awk:

    dpkg -l \* | awk '$1=="ii" {print $2}' | xargs debsums -s -a

     

  • 1.20, Николай (??), 11:41, 05/10/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Спасибо, возьму на заметку, а то как правило при обнаружении взлома продакшн системы читать топики в интернете нет времени.
     
  • 1.21, Nas_tradamus (ok), 17:18, 06/10/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Вроде в статье нет упоминаний о уязвимостях типа "hard-link attack" - это когда удаляешь уязвимый пакет, а хард-лин на уязвимый файл остается.
     
     
  • 2.22, csdoc (ok), 23:31, 06/10/2011 [^] [^^] [^^^] [ответить]  
  • +/

    в п.7 они ж говорят, после этого - полностью с нуля переставить всю систему.

    что и будет защитой от такого типа атак.

     

  • 1.24, pavlinux (ok), 14:59, 09/10/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    Блин, мужуки, надо искать причину, а не следствие атаки.
    То, что я переустановлю фейковый ssh легче не станет.
     
     
  • 2.28, Аноним (-), 14:31, 11/10/2011 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > То, что я переустановлю фейковый ssh легче не станет.

    А где ты взял фэйковый ssh чтобы его переустановить?

     
     
  • 3.30, Aleks Revo (?), 14:33, 21/10/2011 [^] [^^] [^^^] [ответить]  
  • +/
    LOL, его ещё нужно и самому где-то брать? )))))
     

  • 1.25, zerot (ok), 21:52, 10/10/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    вот такое готовили когда то ...
    -
    http://www.ourorbits.org/compumaster/manualsfaqs/tikser4_reglament_tech_servi
    -
    ничто не ново под луной. хотя реально написать можно раз в 5 больше только базовых примочек по обеспечению пассивной безопасности и контролю
     
  • 1.29, pavlinux (ok), 05:19, 13/10/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Вот кульные бумажки

    http://benchmarks.cisecurity.org/en-us/?route=downloads.browse.category.bench

     
  • 1.32, паранойя_форева (?), 10:25, 14/11/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    какаято наивная статья, почти ничо не описано где искать следы
    хацккер может еще
    1) в /home/user/* засунуть чтонибудь, например .profile свой, или в .kde/share/config/kdedrc свои модули прописать для kde, или свой скринсейвер в настройках прописать, кароч большое поле для деятельности -- все это проверяется через mtime
    2)первичные программы, библиотеки и модули,ядро и скрипты (в /etc или /usr/share) заменить на свои, -- иметь контрольную сумму md5sum для всех файлов этих каталогов и после взлома посмотреть atime для последних запускаемых файлов этих каталогов для выявления типа атаки и наличие троянов
    3)поменять настройки в /etc или /usr/share -- проверять md5sum и mtime
    4)залезть в каталог дестрибутивов и там прописать трояны в программах или исходниках -- иметь md5sum всех файлов на отдельном носителе и посмотреть atime и mtime
    5)поменять права у исполнимых файлов с целью облегчения запуска или возможной модификации -- хранить lsmod каталогов на отдельном носителе
    6)модифицировать BIOS системной платы или видеокарты(мож еще какие биосы при загрузке запускаются, не помню) -- иметь сохраненные дампы биос и их прошивки для восстановления
    7)заменить файлы или каталоги в /tmp на свои или со своими правами -- хранить ls -RFlnt /tmp на отдельном носителе
    8)заменить /var/log/* на свои -- следить чтобы ctime каждого лога ctime не было больше mtime
    9)сделать то, что я за не успел придумать за час писания этого коментария
     
  • 1.33, yun (?), 23:40, 12/12/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    ага, на боевом сервере на другом конце земли service sshd stop; rpm -e openssh

    Делается это так: yum reinstall openssh, далее service sshd restart

    Надо помнить что при реинстале конфиги не переустанавливаются, поэтому либо удаляем их пере реинсталом и заново настраиваем, либо вытаскиваем из бэкапов (опять таки после реинстала)

     
  • 1.34, yun (?), 23:41, 12/12/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Опять же перед тем как делать reinstall смотрим куда смотрят репозитарии
     


     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:




    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру