> А как думаешь, как можно лучше всего спалить бэкдор с ливсдшки? 1) Проверить и/или переустановить бутлоадер и системные области на аномалии/лишний хлам. UEFIанство тут кстати может подкинуть порцию новых проблемок.
2) Состав файлов системы и насколько сие совпадает с чексуммами в пакетах (попутно проверив что в keyring изучаемой системы - только расово верные ключи).
3) Стоит попытаться найти неучтенные файлы - файлы не приписанные ни к каким пакетам.
4) Изменения файлов конфигурации относительно дефолта, и насколько админ помнит что он хотел именно этого.
Ну это так, самые капитановские вещи. Тем не менее, как известно, одна программа не может проверить другую произвольную программу и вынести определенный вердикт о ее поведении. Это означает и что всегда может найтись руткит, который обойдет все автоматизированные проверки, и что всегда найдется способ детектировать и такой руткит. Насколько я понимаю, это бесконечное соревнование брони и снаряда в котором отсутствует однозначный выигрыш любой из сторон.
> Что стоит проверить в первую очередь. В Линухах, разумеется. Я программист, но
> с безопасностью пока дел особо не имел.
Типовые руткиты детектируются rkhunter и тому подоными. Если есть подозрения на нестандартный бэкдор - можно попробовать детектировать его нестандартными средствами, на которые авторы таковых не рассчитывали. Ну вон например врядли кто из руткитчиков так уж сильно рассчитывал что некто станет изучать активность системы утилсой типа sysdig из соседней новости, с собственным ядерным довеском. Совсем не факт что руткит сможет корректно прятаться от такой вещицы. А еще - я бы в сильно ответственной системе по первых распилил бы все на контейнеры/VM а во вторых наставил бы капканов, например рубанув некоторе сисколы через LD_PRELOAD (с алертом админу при попытке дергания) и заменив некоторые утили на ловушки. Вы делаете ls? А можно ведь не список дир выдать, а кинуть алерт админу - "ааа!!! у нас вебсервер ls запускает! Его хакнули!".
Но опять же - это не 100% гарантии. Для 100% гарантий (кроме BIOS-related дряни) проще всего все снести под ноль и переустановить заново. Т.е. переписать бутсектор, репартиционирование, создание ФСов заново, переустановка бутлоадера, ну и далее - инсталл или рестор чистой системы. Это доступно даже средним умам. А соревнование с опытными руткитчиками - очень на любителя, т.к. неизвестно кто выиграет, руткит может быть изворотливым и вы всегда можете упустить некий компонент, который однако потом тихой сапой будет сидеть и ждать своего часа.
> Там не так уж много и места. Если тебе нужны либы для управления всякими
> разными вещами, которых нет в установленной ОСи, то места нужно побольше.
Чем жирнее малварина - тем ее проще обнаружить.
> md5 файла уже совпадать не будет, опять таки.
Да. Но это заметит только внимательный администратор.
> Да и сам файл уже будет повреждён.
Сильно зависит от природы файлов. Например небезызвестные "раржыпеги" или исполняемые установщики с приаттаченными данными намекают нам, что многим типам файлов довольно все-равно что там в хвосте дописано и на полезность файла не влияет, или даже превращает баг в фичу.
> А если просто в блоки записывать, помечая их занятыми (дабы случайно Ю
> созданием/изменением файлов не затёрлись), то проверка целостности
> файловой системы всё спалит.
Так она и в вашем случае все палит. Кстати да, упомянутый sysdig по приколу пишет мне что в результатах трассировки программа (deleted). Только подумайте, какой умный: видит что в памяти висит копия из стертого файла, а на диске уже другая копия файла, более новая :)
> А можно подробнее? Одну статью нашёл, про технологию встраиванию кода в чипсеты
> интел, где у них свой собственный проц, на котором веб-сервер даже крутится.
Да-да, именно оно. Рутковска запустила на этом проце свой код. Который через DMA писал в память х86 процессора, ответная часть на x86 стороне детектировала сие, зная чего ожидать. Сам по себе х86 процессор не имеет доступа в тот код и поэтому понятия не имеет, когда ему этот проц своим кодом череп прострелит, пропатчив чего-нибудь слегка. И с вебсервером там все интересно. На большинстве интеловых мамок серверов/десктопов и ряде ноутов этот проц рулит и иными вещами. Ну там вентилятором, питанием, etc. Поэтому даже когда в BIOS SETUP мы говорим ему GTFO ("ME engine - disabled"), на самом деле он вовсе не вырубается полностью. Иначе отвалилось бы управление вентилятором и прочая. И насколько там во всем этом нет бэкдоров и насколько оно не врет что оно и правда "выключилось" - весьма отдельный вопрос. И да, этот проц активен даже когда комп "выключен", ибо питается от дежурки которая есть всегда. Это собственно и позволяет ремотное включение компа через AMT/vPro/каконитамэтоназывают.
> Но как понимаю, речь шла о другом.
Именно об этом.
> И кто такая рутковская?
Гуру по руткитам. Известна тем что сделала ряд нетривиальных руткитов, которые вполне себе новое слово и state of art. Еще она делает CubeOS, "ОС для параноиков". Вполне логичная штука, где разные активности разделяются друг от друга про помощи виртуализаторов, что заметно усложняет атаки на такую систему и превращает их в тот еще миндфак. К тому же большинство VMов существуют временно. Ну логично что специалист по руткитам знает как подгадить соседям по цеху :).
