Настройка и работа в Linux


Снова к вопросу об анатомии вампиров


Как оказалось, часть читателей слишком буквально восприняла предыдущую статью о вампирах (см. , 2000, ©12). В ней, в действительности, не шло речи о поимке крэкеров. Просто данная ситуация была использована для продолжения разговора о возможностях команд shell, потенциальных проблемах и т.д. Гоняться за крэкерами с командами ls или find занятие любопытное, но не очень эффективное. Опыт, как вы видите не отрицательный - что-то сделать можно (особенно, если крэкер-душка тексты оставляет), но и не положительный - всех фокусов вы не найдете. Если ваша система после крэкера похожа на фаршированную утку и готова быть съеденной любой бездомной собакой, то далеко вы не уедете. Рано или поздно вы поменяете один из конфигурационных файлов (а /etc/passwd и /etc/inetd.conf, например, были изменены администратором после ) и дверка будет зафиксирована не только в файле, но, возможно, и в вашем сознании - так было. Можно, конечно, иметь диск с полной копией системы и заниматься сравнением, но это может быть перебором по ресурсам (не путать с backup, который абсолютно необходим). Как правило, используется хранение списка файлов (дабы проверить появление/исчезновение файла), прав доступа и того или иного типа.

Заметим, что для простой проверки можно использовать базу rpm. Например, у нас возникло подозрение, что подменили login (как мы помним, а если не помним, то используем which, - /bin/login):

[root@localhost rpm]# rpm

-q -f /bin/login

util-linux-2.10f-7

[root@localhost rpm]# rpm

-V util-linux-2.10f-7

S.5....T c /etc/pam.d/login

[root@localhost rpm]#

Первая из команд позволяет определить пакет, из которого пришел /bin/login, вторая требует проверки всех файлов пакета. В данном случае обнаружена только модификация конфигурационного файла /etc/pam.d/login (S - размер, 5 - контрольная сумма MD5, T - время модификации). Аналогично, конечно, можно попробовать сказать:

[root@localhost rpm]# rpm -V -a

S.5....T c /etc/services

S.5....T c /etc/localtime

.......T c /etc/nsswitch.conf




Начало  Назад  Вперед



Книжный магазин