ru.unix.bsd

 
 - RU.UNIX.BSD ------------------------------------------------------------------
 From : Eugene Grosbein                      2:5006/1       31 Aug 2001  23:54:03
 To : morgoth@a-teleport.com
 Subject : Re: xploit
 -------------------------------------------------------------------------------- 
 

  matc> возник такой вопросик. допустим, машинку хакнули, получили рута, сделали
  matc> backdoor и т. п.
  matc> приходит утром сисадмин, cvsup'ит исходники, 
 
 А вместо cvsup'а там враппер, который опосля обновления накладывает
 патчи с backdoor'ами.
  
  matc> пересобирает все, инсталлит,
 
 Или gcc затрояненый, или make, или install. Или все :)
 
  matc> пароли меняет. можно ли быть уверенным, что security is not compromised, 
  matc> при условии того, что attacker не покопался в исходниках системы.
 
 Hет.
 
  matc> все бинари и
  matc> библиотеки заново ведь ставятся?
 
 Hе обновляется софт из портов, он тоже может быть затроянен.
 Hе обновляются скрипты в /etc, если mergemaster не делать (он тоже
 может быть похакан).
 
 В общем, надо:
 
 1. Отключить машину от сети физически.
 2. Сделать backup данных и /etc, /usr/local/etc
 3. Переставить систему с CD-R или надежного FTP, загрузившись с дискеток
 или того же CD-R.
 4. Переставить весь дополнительный софт с нуля, закачав дистрибутивы заново.
 5. Аккуратно восстановить конфиги из backup, просматривая их глазами.
 Особенно скрипты из /usr/local/etc/rc.d и подобных.
 
 Только это гарантирует отсутствие backdoors.
 Еще неплохо пошариться по диску в поисках новых файлов,
 неведомо откуда взявшихся.
 
 Eugene
 --- slrn/0.9.7.0 (FreeBSD)
  * Origin: SVZ-Service (2:5006/1@fidonet)
 
 

Вернуться к списку тем, сортированных по: возрастание даты  уменьшение даты  тема  автор