imported>Vix в 20:16, 13 марта 2014

2014-03-13T20:16:49Z

← Предыдущая версия		Версия от 23:16, 13 марта 2014
Строка 129:		Строка 129:
	пароли и ключи доступа, уведомив об инциденте администраторов серверов, на		пароли и ключи доступа, уведомив об инциденте администраторов серверов, на
	которых осуществлялась удаленная работа.		которых осуществлялась удаленная работа.

			* [http://www.opennet.ru/tips/2631_check_security_rootkit_linux_rpm_deb_redhat_fedora_debian_ubuntu.shtml взято тут]

imported>Vix: Новая страница: «В процессе разбора истории со взломом kernel.org было выявлено, что атаковавшим удалось уста…»

2014-03-13T20:16:09Z

Новая страница: «В процессе разбора истории со взломом kernel.org было выявлено, что атаковавшим удалось уста…»

Новая страница

В процессе разбора истории со взломом kernel.org было выявлено, что
атаковавшим удалось установить вредоносное ПО на Linux-машины некоторых
разработчиков, используя которое были перехвачены ключи доступа. В списке
рассылки разработчиков ядра Linux опубликована краткая инструкция по
проверке целостности системы и выявлению следов активности злоумышленников.
Суть опубликованных рекомендаций изложена ниже.

Одним из очевидных способов гарантировать чистоту системы от активности
злоумышленников является переустановка системы с нуля. Но прежде чем прибегнуть
к переустановке, следует убедиться, что система действительно поражена. Чтобы
обеспечить выявление скрывающих свое присутствие руткитов проверку желательно
выполнять загрузившись с LiveCD.

1. Установка и запуск специализированных инструментов для выявления руткитов, например,
chkrootkit, ossec-rootcheck и rkhunter.
При запуске утилиты rkhunter возможно ложное срабатывание на некоторых системах
с Debian. Вызывающие ложные срабатывания факторы описаны в файле /usr/share/doc/rkhunter/README.Debian.gz

2. Проверка корректности сигнатур для всех установленных в системе пакетов.
Для дистрибутивов на базе RPM:

rpm --verify --all

Для дистрибутивов с dpkg следует использовать скрипт:

dpkg -l \*|while read s n rest; do if [ "$s" == "ii" ]; then echo $n;
fi; done > ~/tmp.txt
for f in `cat ~/tmp.txt`; do debsums -s -a $f; done

Утилиту debsums следует установить отдельно:
sudo apt-get install debsums

Вывод измененных файлов:
debsums -ca

Вывод измененных файлов конфигурации:
debsums -ce

Посмотреть пакеты без контрольных сумм:
debsums -l

Другой вариант контрольных сумм для файлов в Debian:

cd /var/lib/dpkg/info
cat *.md5sums | sort > ~/all.md5
cd /
md5sum -c ~/all.md5 > ~/check.txt 2>&1

3. Проверка на то, что установленные пакеты действительно подписаны
действующими цифровыми подписями дистрибутива.

Для систем на базе пакетного менеджера RPM:

for package in `rpm -qa`; do
sig=`rpm -q --qf '%{SIGPGP:pgpsig}\n' $package`
if [ -z "$sig" ] ; then
# check if there is a GPG key, not a PGP one
sig=`rpm -q --qf '%{SIGGPG:pgpsig}\n' $package`
if [ -z "$sig" ] ; then
echo "$package does not have a signature!!!"
fi
fi
done

4. При выявлении подозрительных пакетов их желательно удалить и установить заново.

Например, для переустановки ssh в дистрибутивах на базе RPM следует выполнить:

/etc/init.d/sshd stop
rpm -e openssh
zypper install openssh # для openSUSE
yum install openssh # для Fedora

Рекомендуется проделать эти операции, загрузившись с LiveCD и используя опцию 'rpm --root'.

5. Проверка целостности системных скриптов в /etc/rc*.d и выявление
подозрительного содержимого в /usr/share. Эффективность выполнения проверок
можно гарантировать только при загрузке с LiveCD.

Для выявления директорий в /usr/share, которые не принадлежат каким-либо
пакетам в дистрибутивах на базе RPM можно использовать следующий скрипт:

for file in `find /usr/share/`; do
package=`rpm -qf -- ${file} | grep "is not owned"`
if [ -n "$package" ] ; then
echo "weird file ${file}, please check this out"
fi
done

В Debian для определения какому пакету принадлежит файл следует использовать "dpkg-query -S":

for file in `find /usr/share/GeoIP`; do
package=`dpkg-query -S ${file} 2>&1 | grep "not found"`
if [ -n "$package" ] ; then
echo "weird file ${file}, please check this out"
fi
done

Аудит suid root программ:

find / -user root -perm -4000 -ls

6. Проверка логов на предмет наличия нетипичных сообщений:

* Проверить записи в wtmp и /var/log/secure*, обратив особое внимание на
соединения с внешних хостов.
* Проверить упоминание обращения к /dev/mem;
* В /var/log/secure* посмотреть нет ли связанных с работой ssh строк с не
текстовой информацией в поле версии, которые могут свидетельствовать о попытках взлома.
* Проверка удаления файлов с логами, например, может не хватать одного файла с ротацией логов.
* Выявление подозрительных соединений с локальной машины во вне, например,
отправка email или попытки соединения по ssh во время вашего отсутствия.
* Анализ логов пакетного фильтра с целью выявления подозрительных исходящих
соединений. Например, даже скрытый руткитом бэкдор может проявить себя в логах
через резолвинг DNS. Общая рекомендация сводится к контролю на промежуточном
шлюзе соединений во вне для только принимающих внешние соединения машин и
соединений из вне для только отправляющих запросы клиентских машин.

7. Если в процессе проверки обнаружен факт проникновения злоумышленника следует
сделать копию дисковых разделов на отдельный носитель при помощи команды "dd" с
целью более подробного анализа методов проникновения. Только после этого можно
полностью переустановить всю систему с нуля. Одновременно нужно поменять все
пароли и ключи доступа, уведомив об инциденте администраторов серверов, на
которых осуществлялась удаленная работа.

Проверка Linux-системы на наличие следов взлома - История изменений

imported>Vix в 20:16, 13 марта 2014

imported>Vix: Новая страница: «В процессе разбора истории со взломом kernel.org было выявлено, что атаковавшим удалось уста…»