Какие действия необходимо предпринять, если и вы оказались в числе
пострадавших от взлома:


  1. Спасти необходимую информацию (не установленные программы) с дисков на
    другую машину и переставить ВСЮ систему с дистрибутива. Можно и с
    дампа, но только в том случае, если вы уверены в том, что ваш дамп был сделан
    ДО взлома. Под «всей необходимой информацией» понимаются настройки
    всего, что работает, пользователи/группы, каталоги пользователей с содержимым
    и т.п. При спасении этой информации стоит обратить внимание на некоторые
    пользовательские файлы — ~/.rhosts, ~/bin/* — особенно внимательно, а также
    на возможные следы работы программ, которые пытаются подбирать пароли,
    странные логи IRC и т.п. Рекомендуется также проверить файловую систему на
    наличие оставленных инструментальных средств — скрипты, исходники программ.
    Если у вас обнаружена программа подслушивания сети (сниффер), то не поленитесь
    и проверьте всю файловую систему в поисках протокола работы этой программы.
    Если поиски увенчаются успехом — внимательно проанализируйте находку, возможно
    это повлияет на то, какие протоколы и средства защиты вы будете использовать в
    дальнейшем. Кроме того, большая просьба — сохранить этот файл и переслать его
    техническим специалистам вашего провайдера (критичную для вас информацию
    можете удалить).
  2. После переустановки поменять ВСЕ пароли, и не забывать менять
    их раз в месяц. Рекомендуется не пользоваться паролями, короче 6 символов либо
    состоящих из легко предсказуемых слов.
  3. Внимательно посмотреть на /etc/inetd.conf и убрать оттуда все сервисы,
    которыми вы не пользуетесь, а также уберите (по возможности) все r команды
    (shell,exec,login). На машине должно работать только то, что используется.
  4. Внимательно изучить стартовые файлы — /etc/rc.*, /usr/local/etc/rc.d/* на
    предмет запуска странных программ (сюда же входит запуск известных по
    названию, но из странного места, например из /var/log 🙂
  5. В файле /etc/rc.conf поставить tcp_extensions=»NO» во избежание
    DoS (Denial of Service). Тем более это в реальной жизни все равно не
    используется.
  6. После того, как система у вас готова, запустите mtree с md5 и сохраните
    mtree файлы (подробности есть в man mtree). Кроме mtree для контроля
    целостности можно использовать иные утилиты, например tripwire. В описании
    даны все рекомендации, но упомяну также, что надо ее компилировать статически
    (во флаги компилятора и загрузчика добавляется -static), создается описание,
    производиться инициализация, после чего полученный эталон, гте храняться
    Контрольные суммы, режимы доступа и владельцы файлов, надо переписать на
    дискету, куда помещается также сам бинарик программы. Проверки надо
    производить в однопользовательском режиме, запуская копию программы с дискеты.
    Взять программу (с описанием) можно на (ftp.cert.org)
  7. Следующим этапом сделайте резервную копию — дамп нулевого уровня и уберите
    носитель в надежное место. В последствии перед тем, как вы делаете дамп —
    проверяйте систему tripwire или mtree (но обязательно с дискеты).
  8. Подпишитесь на списки рассылки, например на freebsd-security. Не
    стесняйтесь писать туда сами, задавайте вопросы, особенно при обнаружении
    странностей.

В целях профилактики, постарайтесь регулярно проверять файлы из приведенного
ниже списка — это наиболее вероятные кандадаты для заладок:

/usr/lib/lib*.so.*

/sbin/*

/usr/{bin,sbin,libexec}/*

ну и все остальное типа

/etc/*passw*

/etc/logi*

/etc/rc*

/etc/group.

Например, если вы устанавливали систему месяц
назад, команда
ls -l /usr/sbin/login
показывает время модификации месяц назад,

а команда
ls -lc /usr/sbin/login
— вчерашний день, то вы почти наверняка
пострадали





На входных роутерах очень неплохо поставить фильтры (с оглядкой — будет ли у
вас потом все работать). Перечисленные порты — протоколы либо с недостаточным
уровнем аутентификации, который лекго обходиться, либо те протоколы, для которых
есть ломалки. Следует учесть, что это список не полный, просто то, что
вспомнилось навскидку. Но думаю, что на первое время хватит с лихвой, а потом вы
можете пополнить этот список сами, почитав соответствующие источники :-).

  1. udp port 111,69,161,162,514,517,518,2048
  2. tcp port 143,110,111,11,12,512,513,514

При установке анонимного FTP следует соблюдать осторжность, лучше всего
поставить один из специально исправленных анонимных серверов, типа anonftpd,
aftpd. Имеет смысл запускать их сразу с chroot из tcpwrapper, это лишний раз
убережет вас от возможных ошибок.

 

Оставит комментарий