Защита от троянских программ и руткитов в FreeBSD

18.06.2004 00:58

Новый перевод из собрания сочинений Дрю Лавинь - о защите от троянов и руткитов. Кратко рассказано о методах определения факта внедрения троянской программы в систему, проверка целостности ФС при помощи tripwire.

исправить +/–

Главная ссылка к новости (http://unix.ginras.ru/freebsd/...)

Автор новости: Алексей Федорчук

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/3997-file

Ключевые слова: file, security, rootkit, virus

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (11)

1.1, dryupitz (?), 14:59, 18/06/2004 [ответить] [﹢﹢﹢] [ · · · ]	+/–
cannot resolve unix.ginras.ru: Host name lookup failure

1.2, toor99 (??), 17:36, 18/06/2004 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Ну, так себе... Ничего нового.

2.3, Банзай (?), 22:54, 18/06/2004 [^] [^^] [^^^] [ответить]	+/–
Да уж. Хотелось бы, чтобы редакторы не опускались до маразма, присваивая заголовки.

1.4, Дмитрий Ю. Карпов www.prof.pi2.ru (?), 23:05, 18/06/2004 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Глупость какая-то - автор знает о возможности замены программ, но предлагает полагаться на netsts и sockstat. А вот выставить особо важным файлам флаг, запрещающий изменение и переименование файла (man chflags), а затем усилить security_level до неыозможности снять этот флаг - до этого автор не додумался... :-( PS: До чего же обидно искать на этом сайте мудрости, а обнаружить, что я умнее многих авторов... :-(

2.5, much (?), 05:23, 19/06/2004 [^] [^^] [^^^] [ответить]	+/–
Дмитрий, (оговорюсь: я не автор этой статьи) вы себе явно льстите :)

2.6, Алексей Федорчук (?), 12:37, 19/06/2004 [^] [^^] [^^^] [ответить]	+/–
Так чего бы не привнести в авторский коллектив своей мудрости?

2.8, toor99 (ok), 15:10, 20/06/2004 [^] [^^] [^^^] [ответить]	+/–
Правильное решение. А потом, при обновлении системы, либо матерясь про себя писать скрипт, который эти файлы будет отыскивать, либо отыскивать бумажку, на которой записано, для каких файлов был изменен этот флажок. Плюс перезагрузка для того, чтобы поменять securelevel. Дмитрий, Вы теоретик до мозга костей, в этом мнении я утверждаюсь всё больше и больше. Жизнь сложнее учебных методичек, знаете ли.

3.9, Дмитрий Ю. Карпов www.prof.pi2.ru (?), 15:44, 20/06/2004 [^] [^^] [^^^] [ответить]

+/–

> Правильное решение. А потом, при обновлении системы, либо матерясь про себя
> писать скрипт, который эти файлы будет отыскивать, либо отыскивать бумажку,
> на которой записано, для каких файлов был изменен этот флажок.

Скрипты рулят - и устанавливать, и снимать флажок надо скриптом.

> Плюс перезагрузка для того, чтобы поменять securelevel.

Дык фишка как раз в том, чтобы затруднить жизнь вломщику. Но как известно, всякий дополнительный замОк хояин будет вынужден открывать и закрывать.

> Дмитрий, Вы теоретик до мозга костей, в этом мнении я утверждаюсь
> всё больше и больше. Жизнь сложнее учебных методичек, знаете ли.

Вообще-то, мы тут обсуждаем как раз учебную методичку. Я не требовал поголовного применения этого метода, но упомянуть его надо было обязательно.

4.11, Алексей (??), 09:35, 21/06/2004 [^] [^^] [^^^] [ответить]	+/–
Тогда уже mount -o ro / & /usr + применение ACL & ext attrib на FS это меньше бросается в глаза чем chflags. Но каким образом это защитит если взломщик _уже_ имеет права рута после взлома какого нить сервиса ? Надеятся что взломщик не подчистит за собой всех логов - и ты обнаружиш факт перезагрузки, мягко скажем неприходится. База md5 от файлов не сильно тоже поможет - не так давно пролетал примерчик ядерного модуля который перехватывает открытие\чтение файла = и вполне может подсовывать эталонный файл под проверку и только довереному приложению показывать реальную картину.

2.10, poige (??), 19:41, 20/06/2004 [^] [^^] [^^^] [ответить]

+/–

>Глупость какая-то - автор знает о возможности замены программ, но предлагает полагаться
>на netsts и sockstat. А вот выставить особо важным файлам флаг,
>запрещающий изменение и переименование файла (man chflags), а затем усилить security_level
>до неыозможности снять этот флаг - до этого автор не додумался...
>:-(

Во-первых, это НЕ факт, что не додумался. Может же быть так,
что автор просто не написал об этом. Для другой статьи приберег.
В общем, как знать? Не глупо ли заявлять в таком случае о
глупости автора?

Во-вторых, ну написал бы автор про security level... и что? :-)

Его можно было бы обвинить в том, что не додумался до описания (или изучения) MAC

http://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/mac.html

"jail", (а может vmware?) и т. п. и т. д.

>PS: До чего же обидно искать на этом сайте мудрости, а обнаружить,
>что я умнее многих авторов... :-(

Чего тут скажешь... может быть вы ленитесь искать в другом месте
(или подсознательно этого избегаете)?

Вообще, конечно, понимаю, что типичному представителю вида
"гомо сапиенс" обычно хочется, чтобы все блага мира были в
одном конкретном месте (да поближе), отсортированными, и
готовыми к немедленному употреблению, но "се ля ви не", если
можно так выразиться.

:-)

P. S. На тему пресловутого security level:

http://www.security.nnov.ru/search/news.asp?binid=3762

http://archives.neohapsis.com/archives/freebsd/2001-05/thread.html#225

И netstat:

http://www.mail-archive.com/freebsd-hackers@freebsd.org/msg27354.html

Желаю вам уравновешенности. Считаю, прочитав не один ваш постинг
(особенно касательно СПАМА), она вам не помешает.

/poige
--
http://www.i.morning.ru/~poige/

3.12, Дмитрий Ю. Карпов (?), 16:30, 21/06/2004 [^] [^^] [^^^] [ответить]	+/–
Алексей RO на файловую системы - тоже неплохо, но в отличие от флагов, это проб... большой текст свёрнут, показать

игнорирование участников | лог модерирования

Добавить комментарий

Текст: