какаято наивная статья, почти ничо не описано где искать следы хацккер может еще 1) в /home/user/* засунуть чтонибудь, например .profile свой, или в .kde/share/config/kdedrc свои модули прописать для kde, или свой скринсейвер в настройках прописать, кароч большое поле для деятельности -- все это проверяется через mtime 2)первичные программы, библиотеки и модули,ядро и скрипты (в /etc или /usr/share) заменить на свои, -- иметь контрольную сумму md5sum для всех файлов этих каталогов и после взлома посмотреть atime для последних запускаемых файлов этих каталогов для выявления типа атаки и наличие троянов 3)поменять настройки в /etc или /usr/share -- проверять md5sum и mtime 4)залезть в каталог дестрибутивов и там прописать трояны в программах или исходниках -- иметь md5sum всех файлов на отдельном носителе и посмотреть atime и mtime 5)поменять права у исполнимых файлов с целью облегчения запуска или возможной модификации -- хранить lsmod каталогов на отдельном носителе 6)модифицировать BIOS системной платы или видеокарты(мож еще какие биосы при загрузке запускаются, не помню) -- иметь сохраненные дампы биос и их прошивки для восстановления 7)заменить файлы или каталоги в /tmp на свои или со своими правами -- хранить ls -RFlnt /tmp на отдельном носителе 8)заменить /var/log/* на свои -- следить чтобы ctime каждого лога ctime не было больше mtime 9)сделать то, что я за не успел придумать за час писания этого коментария
|