Телекоммуникационные технологии. Том 1
         

Сетевая информация, которую полезно собирать - часть 2


Выявить такие объекты можно с помощью команды:

find / -nouser -print

  • Для обнаружения файлов SUID root в необычных местах (например, вне каталогов /sbin и /bin), что иногда указывает на попытку сформировать люк для последующего входа в систему, следует выполнить команду.

    find / -uid 0 -perm -4000 -print

  • Для выявления файлов с необычными именами (например, ".", " ", "..." и т.д.), что указывает на работу начинающего хакера, следует исполнить команду.

    find / -name "..." -print

  • Для поиска подозрительных акаунтов (новые аккоунты с системными привилегиями) можно выполнить команду:


    • grep :0: /etc/passwd

    Попытки хакера установить свое программное обеспечение часто приводит к повреждению системных или прикладных программ. В системе RedHat имеется встроенная система RPM (RedHat Package Manager), которая позволяет выявить такие повреждения. Например, команда

    rpm -qa | # rpm -Va | sort

    поможет решить эту проблему. Для этой же цели можно использовать программу chkrootkit (www.chkrootkit.org).

    Просмотрев список активных процессов с помощью команды ps -aux, следует обратить внимание на демоны, проход к которым начинается с символа точка, а также на любые необычные имена процессов. Чтобы узнать подробности, следует заглянуть непосредственно в каталог /proc. Например, выдав команду cat /proc/20999, где 20999 - pid процесса. Для выявления прослушивающих сервисов можно выдать команду netstat -nap.

    Число официально зарегистрированных в мире сетевых инцидентов различного рода возрастает экспоненциально, о чем можно судить по рис. 5. (см. http://www.cert.org/stats/). Этот рост совпадает с ростом числа узлов в интернет, так что процент хулиганов и шизефреников величина похоже инвариантная. Атаки можно разделить на несколько классов:

    • Базирующиеся на дефектах протоколов, например, TCP.

    • Использующие дефекты операционной системы

    • Пытающиеся найти и воспользоваться дефектами программ-приложений, включая, например, CGI

    • Эксплуатирующие человеческие слабости (любопытство, алчность (загрузка бесплатного программного обеспечения) и пр., например, троянские кони)




    Содержание  Назад  Вперед