forum.opennet.ru - "OpenNews: Защита от троянских программ и руткитов в FreeBSD" (11)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"OpenNews: Защита от троянских программ и руткитов в FreeBSD"

Форумы Разговоры, обсуждение новостей (Public)
Вариант для распечатки		Архивированная нить - только для чтения! Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"OpenNews: Защита от троянских программ и руткитов в FreeBSD"
Сообщение от opennews on 18-Июн-04, 14:59
Новый перевод из собрания сочинений Дрю Лавинь - о защите от троянов и руткитов. Кратко рассказано о методах определения факта внедрения троянской программы в систему, проверка целостности ФС при помощи tripwire. URL: http://unix.ginras.ru/freebsd/articles/trojan-and-rootkits.html Новость: http://www.opennet.ru/opennews/art.shtml?num=3997
Cообщить модератору \| Наверх \| ^

Оглавление

Защита от троянских программ и руткитов в FreeBSD, dryupitz, 14:59 , 18-Июн-04, (1)
Защита от троянских программ и руткитов в FreeBSD, toor99, 17:36 , 18-Июн-04, (2)

Да уж. Хотелось бы, чтобы редакторы не опускались до маразма..., Банзай, 22:54 , 18-Июн-04, (3)

Защита от троянских программ и руткитов в FreeBSD, Дмитрий Ю. Карпов www.prof.pi2.ru, 23:05 , 18-Июн-04, (4)

Защита от троянских программ и руткитов в FreeBSD, much, 05:23 , 19-Июн-04, (5)
Защита от троянских программ и руткитов в FreeBSD, Алексей Федорчук, 12:37 , 19-Июн-04, (6)
Защита от троянских программ и руткитов в FreeBSD, toor99, 15:10 , 20-Июн-04, (8)

Защита от троянских программ и руткитов в FreeBSD, Дмитрий Ю. Карпов www.prof.pi2.ru, 15:44 , 20-Июн-04, (9)

Защита от троянских программ и руткитов в FreeBSD, Алексей, 09:35 , 21-Июн-04, (11)

>PS: До чего же обидно искать на этом сайте мудрости, poige, 19:41 , 20-Июн-04, (10)

>PS: До чего же обидно искать на этом сайте мудрости, Дмитрий Ю. Карпов, 16:30 , 21-Июн-04, (12)

Сообщения по теме [Сортировка по времени, UBB]

1. "Защита от троянских программ и руткитов в FreeBSD"

Сообщение от dryupitz on 18-Июн-04, 14:59

cannot resolve unix.ginras.ru: Host name lookup failure

Cообщить модератору | Наверх | ^

2. "Защита от троянских программ и руткитов в FreeBSD"

Сообщение от toor99 (??) on 18-Июн-04, 17:36

Ну, так себе... Ничего нового.

Cообщить модератору | Наверх | ^

3. "Да уж. Хотелось бы, чтобы редакторы не опускались до маразма..."

Сообщение от Банзай on 18-Июн-04, 22:54

Да уж. Хотелось бы, чтобы редакторы не опускались до маразма, присваивая заголовки.

Cообщить модератору | Наверх | ^

4. "Защита от троянских программ и руткитов в FreeBSD"

Сообщение от Дмитрий Ю. Карпов www.prof.pi2.ru on 18-Июн-04, 23:05

Глупость какая-то - автор знает о возможности замены программ, но предлагает полагаться на netsts и sockstat. А вот выставить особо важным файлам флаг, запрещающий изменение и переименование файла (man chflags), а затем усилить security_level до неыозможности снять этот флаг - до этого автор не додумался... :-(
PS: До чего же обидно искать на этом сайте мудрости, а обнаружить, что я умнее многих авторов... :-(

Cообщить модератору | Наверх | ^

5. "Защита от троянских программ и руткитов в FreeBSD"

Сообщение от much on 19-Июн-04, 05:23

Дмитрий, (оговорюсь: я не автор этой статьи) вы себе явно льстите :)

Cообщить модератору | Наверх | ^

6. "Защита от троянских программ и руткитов в FreeBSD"

Сообщение от Алексей Федорчук on 19-Июн-04, 12:37

Так чего бы не привнести в авторский коллектив своей мудрости?

Cообщить модератору | Наверх | ^

8. "Защита от троянских программ и руткитов в FreeBSD"

Сообщение от toor99 (ok) on 20-Июн-04, 15:10

Правильное решение. А потом, при обновлении системы, либо матерясь про себя писать скрипт, который эти файлы будет отыскивать, либо отыскивать бумажку, на которой записано, для каких файлов был изменен этот флажок. Плюс перезагрузка для того, чтобы поменять securelevel.
Дмитрий, Вы теоретик до мозга костей, в этом мнении я утверждаюсь всё больше и больше. Жизнь сложнее учебных методичек, знаете ли.

Cообщить модератору | Наверх | ^

9. "Защита от троянских программ и руткитов в FreeBSD"

Сообщение от Дмитрий Ю. Карпов www.prof.pi2.ru on 20-Июн-04, 15:44

> Правильное решение. А потом, при обновлении системы, либо матерясь про себя
> писать скрипт, который эти файлы будет отыскивать, либо отыскивать бумажку,
> на которой записано, для каких файлов был изменен этот флажок.
Скрипты рулят - и устанавливать, и снимать флажок надо скриптом.
> Плюс перезагрузка для того, чтобы поменять securelevel.
Дык фишка как раз в том, чтобы затруднить жизнь вломщику. Но как известно, всякий дополнительный замОк хояин будет вынужден открывать и закрывать.
> Дмитрий, Вы теоретик до мозга костей, в этом мнении я утверждаюсь
> всё больше и больше. Жизнь сложнее учебных методичек, знаете ли.
Вообще-то, мы тут обсуждаем как раз учебную методичку. Я не требовал поголовного применения этого метода, но упомянуть его надо было обязательно.

Cообщить модератору | Наверх | ^

11. "Защита от троянских программ и руткитов в FreeBSD"

Сообщение от Алексей (??) on 21-Июн-04, 09:35

Тогда уже mount -o ro / & /usr + применение ACL & ext attrib на FS это меньше бросается в глаза чем chflags.
Но каким образом это защитит если взломщик _уже_ имеет права рута после взлома какого нить сервиса ?
Надеятся что взломщик не подчистит за собой всех логов - и ты обнаружиш факт перезагрузки, мягко скажем неприходится.
База md5 от файлов не сильно тоже поможет - не так давно пролетал примерчик ядерного модуля который перехватывает открытие\чтение файла = и вполне может подсовывать эталонный файл под проверку и только довереному приложению показывать реальную картину.

Cообщить модератору | Наверх | ^

10. ">PS: До чего же обидно искать на этом сайте мудрости"

Сообщение от poige (??) on 20-Июн-04, 19:41

>Глупость какая-то - автор знает о возможности замены программ, но предлагает полагаться
>на netsts и sockstat. А вот выставить особо важным файлам флаг,
>запрещающий изменение и переименование файла (man chflags), а затем усилить security_level
>до неыозможности снять этот флаг - до этого автор не додумался...
>:-(
Во-первых, это НЕ факт, что не додумался. Может же быть так,
что автор просто не написал об этом. Для другой статьи приберег.
В общем, как знать? Не глупо ли заявлять в таком случае о
глупости автора?
Во-вторых, ну написал бы автор про security level... и что? :-)
Его можно было бы обвинить в том, что не додумался до описания (или изучения) MAC
  http://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/mac.html
"jail", (а может vmware?) и т. п. и т. д.
>PS: До чего же обидно искать на этом сайте мудрости, а обнаружить,
>что я умнее многих авторов... :-(
Чего тут скажешь... может быть вы ленитесь искать в другом месте
(или подсознательно этого избегаете)?
Вообще, конечно, понимаю, что типичному представителю вида
"гомо сапиенс" обычно хочется, чтобы все блага мира были в
одном конкретном месте (да поближе), отсортированными, и
готовыми к немедленному употреблению, но "се ля ви не", если
можно так выразиться.
:-)
P. S. На тему пресловутого security level:
  http://www.security.nnov.ru/search/news.asp?binid=3762
  http://archives.neohapsis.com/archives/freebsd/2001-05/thread.html#225
И netstat:
  http://www.mail-archive.com/freebsd-hackers@freebsd.org/msg27354.html
Желаю вам уравновешенности. Считаю, прочитав не один ваш постинг
(особенно касательно СПАМА), она вам не помешает.
/poige
--
http://www.i.morning.ru/~poige/

Cообщить модератору | Наверх | ^

12. ">PS: До чего же обидно искать на этом сайте мудрости"

Сообщение от Дмитрий Ю. Карпов on 21-Июн-04, 16:30

Алексей:
> Тогда уже mount -o ro / & /usr + применение ACL & ext attrib
> на FS это меньше бросается в глаза чем chflags.
RO на файловую системы - тоже неплохо, но в отличие от флагов, это пробивается командой mount при наличии root-прав.
> Но каким образом это защитит если взломщик
> _уже_ имеет права рута после взлома какого нить сервиса?
Даже root при суровом уровне защиты не может снять некоторые флаги. Если эти флаги защиты выставлены в т.ч. на стартовые скрипты и запускаемые ими программы, то для снятия этих флагов нужны ручные манипуляции при загрузке системы типа загрузки в однопользовательском режиме. Но эти манипулчции можно проводить только с консоли, но не по сетИ.
=>, мы получаем взломоустойчивую систему. Правда, нужно ещё разобраться со списком файлов, которым необходима защита.
> Надеятся, что взломщик не подчистит за собой всех логов -
> и ты обнаружиш факт перезагрузки, мягко скажем неприходится.
Для этого можно наладить отсылку логов на спец.машину, доступ к которой возможен только с консоли (из демонов там только syslogd). Нет предела паранойи! :-)

poige:
> Во-первых, это НЕ факт, что не додумался. Может же быть так,
> что автор просто не написал об этом. Для другой статьи приберег.
> В общем, как знать? Не глупо ли заявлять в таком случае о глупости автора?
Если не написАл, то должен был упомянуть об этом и о др.способах, дабы мы знали, куда копать дальше.
А если приберёг для др.статьи, то т.б. должен был упомянуть, дабы заинтересовать читателей.
А вот в jail можно сажать далеко не все процессы, которые м.б. захвачены взломщиком.
> Чего тут скажешь... может быть вы ленитесь искать в другом месте
> (или подсознательно этого избегаете)?
Дык посоветуйте.
> Вообще, конечно, понимаю, что типичному представителю вида
> "гомо сапиенс" обычно хочется, чтобы все блага мира
> были в одном конкретном месте (да поближе),
> отсортированными, и готовыми к немедленному употреблению,
Из всех мест, где я бывал, http://www.opennet.ru и http://www.citforum.ru наиболее близки к желаемому.

Cообщить модератору | Наверх | ^

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Защита от троянских программ и руткитов в FreeBSD"
Сообщение от dryupitz on 18-Июн-04, 14:59
cannot resolve unix.ginras.ru: Host name lookup failure
Cообщить модератору \| Наверх \| ^

2. "Защита от троянских программ и руткитов в FreeBSD"
Сообщение от toor99 (??) on 18-Июн-04, 17:36
Ну, так себе... Ничего нового.
Cообщить модератору \| Наверх \| ^


	3. "Да уж. Хотелось бы, чтобы редакторы не опускались до маразма..."
	Сообщение от Банзай on 18-Июн-04, 22:54
	Да уж. Хотелось бы, чтобы редакторы не опускались до маразма, присваивая заголовки.
	Cообщить модератору \| Наверх \| ^

4. "Защита от троянских программ и руткитов в FreeBSD"
Сообщение от Дмитрий Ю. Карпов www.prof.pi2.ru on 18-Июн-04, 23:05
Глупость какая-то - автор знает о возможности замены программ, но предлагает полагаться на netsts и sockstat. А вот выставить особо важным файлам флаг, запрещающий изменение и переименование файла (man chflags), а затем усилить security_level до неыозможности снять этот флаг - до этого автор не додумался... :-( PS: До чего же обидно искать на этом сайте мудрости, а обнаружить, что я умнее многих авторов... :-(
Cообщить модератору \| Наверх \| ^


	5. "Защита от троянских программ и руткитов в FreeBSD"
	Сообщение от much on 19-Июн-04, 05:23
	Дмитрий, (оговорюсь: я не автор этой статьи) вы себе явно льстите :)
	Cообщить модератору \| Наверх \| ^


	6. "Защита от троянских программ и руткитов в FreeBSD"
	Сообщение от Алексей Федорчук on 19-Июн-04, 12:37
	Так чего бы не привнести в авторский коллектив своей мудрости?
	Cообщить модератору \| Наверх \| ^


	8. "Защита от троянских программ и руткитов в FreeBSD"
	Сообщение от toor99 (ok) on 20-Июн-04, 15:10
	Правильное решение. А потом, при обновлении системы, либо матерясь про себя писать скрипт, который эти файлы будет отыскивать, либо отыскивать бумажку, на которой записано, для каких файлов был изменен этот флажок. Плюс перезагрузка для того, чтобы поменять securelevel. Дмитрий, Вы теоретик до мозга костей, в этом мнении я утверждаюсь всё больше и больше. Жизнь сложнее учебных методичек, знаете ли.
	Cообщить модератору \| Наверх \| ^


	9. "Защита от троянских программ и руткитов в FreeBSD"
	Сообщение от Дмитрий Ю. Карпов www.prof.pi2.ru on 20-Июн-04, 15:44
	> Правильное решение. А потом, при обновлении системы, либо матерясь про себя > писать скрипт, который эти файлы будет отыскивать, либо отыскивать бумажку, > на которой записано, для каких файлов был изменен этот флажок. Скрипты рулят - и устанавливать, и снимать флажок надо скриптом. > Плюс перезагрузка для того, чтобы поменять securelevel. Дык фишка как раз в том, чтобы затруднить жизнь вломщику. Но как известно, всякий дополнительный замОк хояин будет вынужден открывать и закрывать. > Дмитрий, Вы теоретик до мозга костей, в этом мнении я утверждаюсь > всё больше и больше. Жизнь сложнее учебных методичек, знаете ли. Вообще-то, мы тут обсуждаем как раз учебную методичку. Я не требовал поголовного применения этого метода, но упомянуть его надо было обязательно.
	Cообщить модератору \| Наверх \| ^


	11. "Защита от троянских программ и руткитов в FreeBSD"
	Сообщение от Алексей (??) on 21-Июн-04, 09:35
	Тогда уже mount -o ro / & /usr + применение ACL & ext attrib на FS это меньше бросается в глаза чем chflags. Но каким образом это защитит если взломщик _уже_ имеет права рута после взлома какого нить сервиса ? Надеятся что взломщик не подчистит за собой всех логов - и ты обнаружиш факт перезагрузки, мягко скажем неприходится. База md5 от файлов не сильно тоже поможет - не так давно пролетал примерчик ядерного модуля который перехватывает открытие\чтение файла = и вполне может подсовывать эталонный файл под проверку и только довереному приложению показывать реальную картину.
	Cообщить модератору \| Наверх \| ^


	10. ">PS: До чего же обидно искать на этом сайте мудрости"
	Сообщение от poige (??) on 20-Июн-04, 19:41
	>Глупость какая-то - автор знает о возможности замены программ, но предлагает полагаться >на netsts и sockstat. А вот выставить особо важным файлам флаг, >запрещающий изменение и переименование файла (man chflags), а затем усилить security_level >до неыозможности снять этот флаг - до этого автор не додумался... >:-( Во-первых, это НЕ факт, что не додумался. Может же быть так, что автор просто не написал об этом. Для другой статьи приберег. В общем, как знать? Не глупо ли заявлять в таком случае о глупости автора? Во-вторых, ну написал бы автор про security level... и что? :-) Его можно было бы обвинить в том, что не додумался до описания (или изучения) MAC http://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/mac.html "jail", (а может vmware?) и т. п. и т. д. >PS: До чего же обидно искать на этом сайте мудрости, а обнаружить, >что я умнее многих авторов... :-( Чего тут скажешь... может быть вы ленитесь искать в другом месте (или подсознательно этого избегаете)? Вообще, конечно, понимаю, что типичному представителю вида "гомо сапиенс" обычно хочется, чтобы все блага мира были в одном конкретном месте (да поближе), отсортированными, и готовыми к немедленному употреблению, но "се ля ви не", если можно так выразиться. :-) P. S. На тему пресловутого security level: http://www.security.nnov.ru/search/news.asp?binid=3762 http://archives.neohapsis.com/archives/freebsd/2001-05/thread.html#225 И netstat: http://www.mail-archive.com/freebsd-hackers@freebsd.org/msg27354.html Желаю вам уравновешенности. Считаю, прочитав не один ваш постинг (особенно касательно СПАМА), она вам не помешает. /poige -- http://www.i.morning.ru/~poige/
	Cообщить модератору \| Наверх \| ^


	12. ">PS: До чего же обидно искать на этом сайте мудрости"
	Сообщение от Дмитрий Ю. Карпов on 21-Июн-04, 16:30
	Алексей: > Тогда уже mount -o ro / & /usr + применение ACL & ext attrib > на FS это меньше бросается в глаза чем chflags. RO на файловую системы - тоже неплохо, но в отличие от флагов, это пробивается командой mount при наличии root-прав. > Но каким образом это защитит если взломщик > _уже_ имеет права рута после взлома какого нить сервиса? Даже root при суровом уровне защиты не может снять некоторые флаги. Если эти флаги защиты выставлены в т.ч. на стартовые скрипты и запускаемые ими программы, то для снятия этих флагов нужны ручные манипуляции при загрузке системы типа загрузки в однопользовательском режиме. Но эти манипулчции можно проводить только с консоли, но не по сетИ. =>, мы получаем взломоустойчивую систему. Правда, нужно ещё разобраться со списком файлов, которым необходима защита. > Надеятся, что взломщик не подчистит за собой всех логов - > и ты обнаружиш факт перезагрузки, мягко скажем неприходится. Для этого можно наладить отсылку логов на спец.машину, доступ к которой возможен только с консоли (из демонов там только syslogd). Нет предела паранойи! :-) poige: > Во-первых, это НЕ факт, что не додумался. Может же быть так, > что автор просто не написал об этом. Для другой статьи приберег. > В общем, как знать? Не глупо ли заявлять в таком случае о глупости автора? Если не написАл, то должен был упомянуть об этом и о др.способах, дабы мы знали, куда копать дальше. А если приберёг для др.статьи, то т.б. должен был упомянуть, дабы заинтересовать читателей. А вот в jail можно сажать далеко не все процессы, которые м.б. захвачены взломщиком. > Чего тут скажешь... может быть вы ленитесь искать в другом месте > (или подсознательно этого избегаете)? Дык посоветуйте. > Вообще, конечно, понимаю, что типичному представителю вида > "гомо сапиенс" обычно хочется, чтобы все блага мира > были в одном конкретном месте (да поближе), > отсортированными, и готовыми к немедленному употреблению, Из всех мест, где я бывал, http://www.opennet.ru и http://www.citforum.ru наиболее близки к желаемому.
	Cообщить модератору \| Наверх \| ^