forum.opennet.ru

Составление сообщения

Исходное сообщение

"Раздел полезных советов: Проверка Linux-системы на наличие с..."
Отправлено auto_tips, 03-Окт-11 11:08

В процессе разбора истории со взломом  kernel.org было выявлено, что атаковавшим удалось установить вредоносное ПО на Linux-машины некоторых разработчиков, используя которое были перехвачены ключи доступа. В списке рассылки разработчиков ядра Linux [[https://lkml.org/lkml/2011/9/30/425 опубликована]] краткая инструкция по проверке целостности системы и выявлении следов активности злоумышленников, суть которой изложена ниже.
Одним из очевидных способов гарантировать чистоту системы от активности злоумышленников является переустановка системы с нуля. Но прежде чем прибегнуть к переустановке, следует убедиться, что система действительно поражена. Чтобы обеспечить выявление скрывающих свое присутствие руткитов проверку желательно выполнять загрузившись с LiveCD.

1. Установка и запуск специализированных инструментов для выявления руткитов, например, [[http://www.chkrootkit.org/ chkrootkit]], [[http://www.ossec.net/main/rootcheck ossec-rootcheck]] и [[http://www.rootkit.nl/projects/rootkit_hunter.html rkhunter]]. При запуске утилиты rkhunter возможно ложное срабатывание на некоторых системах с Debian, вызывающие ложные срабатывания факторы описаны в файле /usr/share/doc/rkhunter/README.Debian.gz

2. Проверка корректности сигнатур для всех установленных в системе пакетов.
Для дистрибутивов на базе RPM:
   rpm --verify --all
Для дистрибутивов с dpkg следует использовать скрипт:
   dpkg -l \*|while read s n rest; do if [ "$s" == "ii" ]; then echo $n;
   fi; done > ~/tmp.txt
   for f in `cat ~/tmp.txt`; do debsums -s -a $f; done
Утилиту debsums следует установить отдельно:
   sudo apt-get install debsums
Вывод измененных файлов:
   debsums -ca
Вывод измененных файлов конфигурации:
   debsums -ce
Посмотреть пакеты без контрольных сумм:
   debsums -l
Другой вариант контрольных сумм для файлов в Debian:
   cd /var/lib/dpkg/info
   cat *.md5sums | sort > ~/all.md5
   cd /
   md5sum -c ~/all.md5 > ~/check.txt 2>&1

3. Проверка на то, что установленные пакеты действительно подписаны действующими цифровыми подписями дистрибутива.
Для систем на базе пакетного менеджера RPM:
   for package in `rpm -qa`; do
      sig=`rpm -q --qf '%{SIGPGP:pgpsig}\n' $package`
      if [ -z "$sig" ] ; then
         # check if there is a GPG key, not a PGP one
         sig=`rpm -q --qf '%{SIGGPG:pgpsig}\n' $package`
         if [ -z "$sig" ] ; then
             echo "$package does not have a signature!!!"
         fi
     fi
   done
5. При выявлении подозрительных пакетов их желательно удалить и установить заново.
Например, для переустановки ssh в дистрибутивах на базе RPM следует выполнить:
    /etc/init.d/sshd stop
    rpm -e openssh
    zypper install openssh    # для openSUSE
    yum install openssh    # для Fedora
Рекомендуется проделать эти операции, загрузившись с LiveCD и используя опцию 'rpm --root'.
5. Проверка целостности системных скриптов в /etc/rc*.d и выявление подозрительного содержимого в /usr/share. Эффективность выполнения проверок можно гарантировать только при загрузке с LiveCD.
Для выявления директорий в /usr/share, которые не принадлежат каким-либо пакетам в дистрибутивах на базе RPM можно использовать следующий скрипт:
   for file in `find /usr/share/`; do
      package=`rpm -qf -- ${file} | grep "is not owned"`
      if [ -n "$package" ] ; then
         echo "weird file ${file}, please check this out"
      fi
   done
Аудит suid root программ:
   find / -user root -perm -4000 -ls
6. Проверка логов на предмет наличия нетипичных сообщений:
* Проверить записи в wtmp и /var/log/secure*, обратив особое внимание на соединения с внешних хостов.
* Проверить упоминание обращения к /dev/mem;
* В /var/log/secure* посмотреть нет ли связанных с работой ssh строк с не текстовой информацией в поле версии, которые могут свидетельствовать о попытках взлома.
* Проверка удаления файлов с логами, например, может не хватать одного файла с ротацией логов.
* Выявление подозрительных соединений с локальной машины во вне, например, отправка email или попытки соединения по ssh во время вашего отсутствия.
* Анализ логов пакетного фильтра с целью выявления подозрительных исходящих соединений. Например, даже скрытый руткитом бэкдор может проявить себя в логах через резолвинг DNS. Общая рекомендация сводится к контролю на промежуточном шлюзе соединений во вне для только принимающих внешние соединения машин и соединений из вне для только отправляющих запросы клиентских машин.
7. Если в процессе проверки обнаружен факт проникновения злоумышленника следует сделать копию дисковых разделов на отдельный носитель при помощи команды "dd" с целью более подробного анализа методов проникновения. Только после этого можно полностью переустановить всю систему с нуля. Одновременно нужно поменять все пароли и ключи доступа, уведомив об инциденте администраторов серверов, на которых осуществлялась удаленная работа.

URL: https://lkml.org/lkml/2011/9/30/425 https://lkml.org/lkml/2011/10/1/11
Обсуждается: https://www.opennet.ru/tips/info/2631.shtml

Исходное сообщение
"Раздел полезных советов: Проверка Linux-системы на наличие с..." Отправлено auto_tips, 03-Окт-11 11:08
В процессе разбора истории со взломом kernel.org было выявлено, что атаковавшим удалось установить вредоносное ПО на Linux-машины некоторых разработчиков, используя которое были перехвачены ключи доступа. В списке рассылки разработчиков ядра Linux [[https://lkml.org/lkml/2011/9/30/425 опубликована]] краткая инструкция по проверке целостности системы и выявлении следов активности злоумышленников, суть которой изложена ниже. Одним из очевидных способов гарантировать чистоту системы от активности злоумышленников является переустановка системы с нуля. Но прежде чем прибегнуть к переустановке, следует убедиться, что система действительно поражена. Чтобы обеспечить выявление скрывающих свое присутствие руткитов проверку желательно выполнять загрузившись с LiveCD. 1. Установка и запуск специализированных инструментов для выявления руткитов, например, [[http://www.chkrootkit.org/ chkrootkit]], [[http://www.ossec.net/main/rootcheck ossec-rootcheck]] и [[http://www.rootkit.nl/projects/rootkit_hunter.html rkhunter]]. При запуске утилиты rkhunter возможно ложное срабатывание на некоторых системах с Debian, вызывающие ложные срабатывания факторы описаны в файле /usr/share/doc/rkhunter/README.Debian.gz 2. Проверка корректности сигнатур для всех установленных в системе пакетов. Для дистрибутивов на базе RPM: rpm --verify --all Для дистрибутивов с dpkg следует использовать скрипт: dpkg -l \\|while read s n rest; do if [ "$s" == "ii" ]; then echo $n; fi; done > ~/tmp.txt for f in `cat ~/tmp.txt`; do debsums -s -a $f; done Утилиту debsums следует установить отдельно: sudo apt-get install debsums Вывод измененных файлов: debsums -ca Вывод измененных файлов конфигурации: debsums -ce Посмотреть пакеты без контрольных сумм: debsums -l Другой вариант контрольных сумм для файлов в Debian: cd /var/lib/dpkg/info cat .md5sums \| sort > ~/all.md5 cd / md5sum -c ~/all.md5 > ~/check.txt 2>&1 3. Проверка на то, что установленные пакеты действительно подписаны действующими цифровыми подписями дистрибутива. Для систем на базе пакетного менеджера RPM: for package in `rpm -qa`; do sig=`rpm -q --qf '%{SIGPGP:pgpsig}\n' $package` if [ -z "$sig" ] ; then # check if there is a GPG key, not a PGP one sig=`rpm -q --qf '%{SIGGPG:pgpsig}\n' $package` if [ -z "$sig" ] ; then echo "$package does not have a signature!!!" fi fi done 5. При выявлении подозрительных пакетов их желательно удалить и установить заново. Например, для переустановки ssh в дистрибутивах на базе RPM следует выполнить: /etc/init.d/sshd stop rpm -e openssh zypper install openssh # для openSUSE yum install openssh # для Fedora Рекомендуется проделать эти операции, загрузившись с LiveCD и используя опцию 'rpm --root'. 5. Проверка целостности системных скриптов в /etc/rc.d и выявление подозрительного содержимого в /usr/share. Эффективность выполнения проверок можно гарантировать только при загрузке с LiveCD. Для выявления директорий в /usr/share, которые не принадлежат каким-либо пакетам в дистрибутивах на базе RPM можно использовать следующий скрипт: for file in `find /usr/share/`; do package=`rpm -qf -- ${file} \| grep "is not owned"` if [ -n "$package" ] ; then echo "weird file ${file}, please check this out" fi done Аудит suid root программ: find / -user root -perm -4000 -ls 6. Проверка логов на предмет наличия нетипичных сообщений: Проверить записи в wtmp и /var/log/secure, обратив особое внимание на соединения с внешних хостов. Проверить упоминание обращения к /dev/mem; * В /var/log/secure* посмотреть нет ли связанных с работой ssh строк с не текстовой информацией в поле версии, которые могут свидетельствовать о попытках взлома. * Проверка удаления файлов с логами, например, может не хватать одного файла с ротацией логов. * Выявление подозрительных соединений с локальной машины во вне, например, отправка email или попытки соединения по ssh во время вашего отсутствия. * Анализ логов пакетного фильтра с целью выявления подозрительных исходящих соединений. Например, даже скрытый руткитом бэкдор может проявить себя в логах через резолвинг DNS. Общая рекомендация сводится к контролю на промежуточном шлюзе соединений во вне для только принимающих внешние соединения машин и соединений из вне для только отправляющих запросы клиентских машин. 7. Если в процессе проверки обнаружен факт проникновения злоумышленника следует сделать копию дисковых разделов на отдельный носитель при помощи команды "dd" с целью более подробного анализа методов проникновения. Только после этого можно полностью переустановить всю систему с нуля. Одновременно нужно поменять все пароли и ключи доступа, уведомив об инциденте администраторов серверов, на которых осуществлялась удаленная работа. URL: https://lkml.org/lkml/2011/9/30/425 https://lkml.org/lkml/2011/10/1/11 Обсуждается: https://www.opennet.ru/tips/info/2631.shtml

Ваше сообщение

Имя*:

EMail:

Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

> В процессе разбора истории со взломом  kernel.org было выявлено, что атаковавшим 
> удалось установить вредоносное ПО на Linux-машины некоторых разработчиков, используя 
> которое были перехвачены ключи доступа. В списке рассылки разработчиков ядра Linux 
> [[https://lkml.org/lkml/2011/9/30/425 опубликована]] краткая инструкция по проверке 
> целостности системы и выявлении следов активности злоумышленников, суть которой изложена 
> ниже.

> Одним из очевидных способов гарантировать чистоту системы от активности злоумышленников 
> является переустановка системы с нуля. Но прежде чем прибегнуть к переустановке, 
> следует убедиться, что система действительно поражена. Чтобы обеспечить выявление скрывающих 
> свое присутствие руткитов проверку желательно выполнять загрузившись с LiveCD.

> 1. Установка и запуск специализированных инструментов для выявления руткитов, например, 
> [[http://www.chkrootkit.org/ chkrootkit]], [[http://www.ossec.net/main/rootcheck 
> ossec-rootcheck]] и [[http://www.rootkit.nl/projects/rootkit_hunter.html rkhunter]]. 
> При запуске утилиты rkhunter возможно ложное срабатывание на некоторых системах с 
> Debian, вызывающие ложные срабатывания факторы описаны в файле /usr/share/doc/rkhunter/README.Debian.gz

> 2. Проверка корректности сигнатур для всех установленных в системе пакетов.
> Для дистрибутивов на базе RPM:

>    rpm --verify --all

> Для дистрибутивов с dpkg следует использовать скрипт:

>    dpkg -l \*|while read s n rest; do if 
> [ "$s" == "ii" ]; then echo $n; 
>    fi; done > ~/tmp.txt 
>    for f in `cat ~/tmp.txt`; do debsums -s -a 
> $f; done

> Утилиту debsums следует установить отдельно: 
>    sudo apt-get install debsums

> Вывод измененных файлов: 
>    debsums -ca

> Вывод измененных файлов конфигурации: 
>    debsums -ce

> Посмотреть пакеты без контрольных сумм: 
>    debsums -l

> Другой вариант контрольных сумм для файлов в Debian:

>    cd /var/lib/dpkg/info 
>    cat *.md5sums | sort > ~/all.md5 
>    cd / 
>    md5sum -c ~/all.md5 > ~/check.txt 2>&1

> 3. Проверка на то, что установленные пакеты действительно подписаны действующими цифровыми 
> подписями дистрибутива.

> Для систем на базе пакетного менеджера RPM:

>    for package in `rpm -qa`; do 
>       sig=`rpm -q --qf '%{SIGPGP:pgpsig}\n' $package` 
>       if [ -z "$sig" ] ; 
> then 
>          # check if 
> there is a GPG key, not a PGP one 
>          sig=`rpm -q --qf 
> '%{SIGGPG:pgpsig}\n' $package` 
>          if [ -z 
> "$sig" ] ; then 
>             
>  echo "$package does not have a signature!!!" 
>          fi 
>      fi 
>    done

> 5. При выявлении подозрительных пакетов их желательно удалить и установить заново.

> Например, для переустановки ssh в дистрибутивах на базе RPM следует выполнить:

>  /etc/init.d/sshd stop 
>  rpm -e openssh 
>  zypper install openssh # для openSUSE 
>  yum install openssh # для Fedora

> Рекомендуется проделать эти операции, загрузившись с LiveCD и используя опцию 'rpm --root'.

> 5. Проверка целостности системных скриптов в /etc/rc*.d и выявление подозрительного содержимого 
> в /usr/share. Эффективность выполнения проверок можно гарантировать только при загрузке 
> с LiveCD.

> Для выявления директорий в /usr/share, которые не принадлежат каким-либо пакетам в дистрибутивах 
> на базе RPM можно использовать следующий скрипт:

>    for file in `find /usr/share/`; do 
>       package=`rpm -qf -- ${file} | grep 
> "is not owned"` 
>       if [ -n "$package" ] ; 
> then 
>          echo "weird file 
> ${file}, please check this out" 
>       fi 
>    done

> Аудит suid root программ:

>    find / -user root -perm -4000 -ls

> 6. Проверка логов на предмет наличия нетипичных сообщений:

> * Проверить записи в wtmp и /var/log/secure*, обратив особое внимание на соединения 
> с внешних хостов.
> * Проверить упоминание обращения к /dev/mem; 
> * В /var/log/secure* посмотреть нет ли связанных с работой ssh строк с 
> не текстовой информацией в поле версии, которые могут свидетельствовать о попытках 
> взлома.
> * Проверка удаления файлов с логами, например, может не хватать одного файла 
> с ротацией логов.
> * Выявление подозрительных соединений с локальной машины во вне, например, отправка email 
> или попытки соединения по ssh во время вашего отсутствия.
> * Анализ логов пакетного фильтра с целью выявления подозрительных исходящих соединений. 
> Например, даже скрытый руткитом бэкдор может проявить себя в логах через 
> резолвинг DNS. Общая рекомендация сводится к контролю на промежуточном шлюзе соединений 
> во вне для только принимающих внешние соединения машин и соединений из 
> вне для только отправляющих запросы клиентских машин.

> 7. Если в процессе проверки обнаружен факт проникновения злоумышленника следует сделать 
> копию дисковых разделов на отдельный носитель при помощи команды "dd" с 
> целью более подробного анализа методов проникновения. Только после этого можно полностью 
> переустановить всю систему с нуля. Одновременно нужно поменять все пароли и 
> ключи доступа, уведомив об инциденте администраторов серверов, на которых осуществлялась 
> удаленная работа.

> URL: https://lkml.org/lkml/2011/9/30/425 https://lkml.org/lkml/2011/10/1/11 
> Обсуждается: https://www.opennet.ru/tips/info/2631.shtml

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру