Как обнаружить хакерскую атаку на *nix
🕛 14.02.2008, 17:26
Большинством уязвимостей можно воспользоваться множеством способов. Дляхакерской атаки можно использовать один эксплойт, несколько эксплойтов
одновременно, неверные настройки программных компонентов или даже
программу-бэкдор, установленную в операционную систему в процессе предыдущей
атаки.
Из-за этого детектирование хакерской атаки становится не самой простой задачей,
особенно для неопытного пользователя. В этом разделе мы постараемся
сформулировать советы, способные помочь читателю определить, подвергается ли его
компьютер хакерской атаке или же защита компьютера уже была взломана ранее.
Помните, что, как и в случае вирусов, никто не дает 100% гарантии, что вы
сможете зафиксировать хакерскую атаку подобными способами. Впрочем, если ваша
система уже взломана, то ей наверняка будут присущи некоторые из перечисляемых
ниже признаков.
* Файлы с подозрительными названиями в папке «/tmp». Множество эксплойтов в мире
UNIX полагается на создание временных файлов в стандартной папке «/tmp», которые
не всегда удаляются после взлома системы. Это же справедливо для некоторых
червей, заражающих UNIX-системы; они рекомпилируют себя в папке «/tmp» и затем
используют ее в качестве «домашней».
* Модифицированные исполняемые файлы системных сервисов вроде «login», «telnet»,
«ftp», «finger» или даже более сложных типа «sshd», «ftpd» и других. После
проникновения в систему хакер обычно предпринимает попытку укорениться в ней,
поместив бэкдор в один из сервисов, доступных из интернета, или изменив
стандартные системные утилиты, используемые для подключения к другим
компьютерам. Подобные модифицированные исполняемые файлы обычно входят в состав
rootkit и скрыты от простого прямого изучения. В любом случае, полезно хранить
базу с контрольными суммами всех системных утилит и периодически, отключившись
от интернета, в режиме одного пользователя, проверять, не изменились ли они.
* Модифицированные «/etc/passwd», «/etc/shadow» или иные системные файлы в папке
«/etc». Иногда результатом хакерской атаки становится появление еще одного
пользователя в файле «/etc/passwd», который может удаленно зайти в систему
позже. Следите за всеми изменениями файла с паролями, особенно за пользователями
с подозрительными логинами.
* Появление подозрительных сервисов в «/etc/services». Установка бэкдора в
UNIX-системе зачастую осуществляется путем добавления двух текстовых строк в
файлы «/etc/services» и «/etc/ined.conf». Следует постоянно следить за этими
файлами, чтобы не пропустить момент появления там новых строк, устанавливающих
бэкдор на ранее неиспользуемый или подозрительный порт.