https://www.opennet.ru/openforum/vsluhforumID3/80595.html В процессе разбора истории со взломом kernel.org было выявлено, что атаковавшим удалось установить вредоносное ПО на Linux-машины некоторых разработчиков, используя которое были перехвачены ключи доступа. В списке рассылки разработчиков ядра Linux [[https://lkml.org/lkml/2011/9/30/425 опубликована]] краткая инструкция по проверке целостности системы и выявлении следов активности злоумышленников, суть которой изложена ниже.<br><br>Одним из очевидных способов гарантировать чистоту системы от активности злоумышленников является переустановка системы с нуля. Но прежде чем прибегнуть к переустановке, следует убедиться, что система действительно поражена. Чтобы обеспечить выявление скрывающих свое присутствие руткитов проверку желательно выполнять загрузившись с LiveCD.<br><br><br>1. Установка и запуск специализированных инструментов для выявления руткитов, например, [[http://www.chkrootkit.org/ chkrootkit]], [[http://www.ossec.net/main/rootcheck ossec-rootcheck]] и [[http://www.rootkit.nl/projects/rootkit_hunter.html rkhun https://www.opennet.ru/openforum/vsluhforumID3/80595.html#34 Mon, 12 Dec 2011 19:41:12 GMT Опять же перед тем как делать reinstall смотрим куда смотрят репозитарии<br> https://www.opennet.ru/openforum/vsluhforumID3/80595.html#33 Mon, 12 Dec 2011 19:40:08 GMT ага, на боевом сервере на другом конце земли service sshd stop; rpm -e openssh<br><br>Делается это так: yum reinstall openssh, далее service sshd restart<br><br>Надо помнить что при реинстале конфиги не переустанавливаются, поэтому либо удаляем их пере реинсталом и заново настраиваем, либо вытаскиваем из бэкапов (опять таки после реинстала)<br> https://www.opennet.ru/openforum/vsluhforumID3/80595.html#32 Mon, 14 Nov 2011 06:25:45 GMT какаято наивная статья, почти ничо не описано где искать следы<br>хацккер может еще<br>1) в /home/user/* засунуть чтонибудь, например .profile свой, или в .kde/share/config/kdedrc свои модули прописать для kde, или свой скринсейвер в настройках прописать, кароч большое поле для деятельности -- все это проверяется через mtime<br>2)первичные программы, библиотеки и модули,ядро и скрипты (в /etc или /usr/share) заменить на свои, -- иметь контрольную сумму md5sum для всех файлов этих каталогов и после взлома посмотреть atime для последних запускаемых файлов этих каталогов для выявления типа атаки и наличие троянов<br>3)поменять настройки в /etc или /usr/share -- проверять md5sum и mtime<br>4)залезть в каталог дестрибутивов и там прописать трояны в программах или исходниках -- иметь md5sum всех файлов на отдельном носителе и посмотреть atime и mtime<br>5)поменять права у исполнимых файлов с целью облегчения запуска или возможной модификации -- хранить lsmod каталогов на отдельном носителе<br>6)модифицировать BIOS системной плат https://www.opennet.ru/openforum/vsluhforumID3/80595.html#31 Wed, 26 Oct 2011 03:52:47 GMT http://packages.debian.org/stable/debsums<br> https://www.opennet.ru/openforum/vsluhforumID3/80595.html#30 Fri, 21 Oct 2011 10:33:34 GMT LOL, его ещё нужно и самому где-то брать? )))))<br> https://www.opennet.ru/openforum/vsluhforumID3/80595.html#29 Thu, 13 Oct 2011 01:19:42 GMT Вот кульные бумажки <br><br>http://benchmarks.cisecurity.org/en-us/?route=downloads.browse.category.benchmarks.os.linux<br> https://www.opennet.ru/openforum/vsluhforumID3/80595.html#28 Tue, 11 Oct 2011 10:31:28 GMT &gt; То, что я переустановлю фейковый ssh легче не станет.<br><br>А где ты взял фэйковый ssh чтобы его переустановить?<br><br> https://www.opennet.ru/openforum/vsluhforumID3/80595.html#27 Tue, 11 Oct 2011 10:29:39 GMT &gt; Кстати, погуглите по фразе дивный новый мир.<br><br>Годно! Зацитирую ка я кусочек из викии... <br><br>--------<br>Действие романа разворачивается в Лондоне далёкого будущего (около 26 века христианской эры). Люди на всей Земле живут в едином государстве, общество которого &#8212; общество потребления. Отсчитывается новое летоисчисление &#8212; Эра Т &#8212; с появления Форда Т. Потребление возведено в культ, символом потребительского бога выступает Генри Форд, а вместо крестного знамения люди &#171;осеняют себя знаком Т&#187;.<br>--------<br><br>Кстати да, Джобса явно надо причислить к лику святых в рамках этой религии, не иначе. Хотя пожалуй он "посвятее Форда" будет...<br> https://www.opennet.ru/openforum/vsluhforumID3/80595.html#26 Tue, 11 Oct 2011 10:26:47 GMT &gt; Что-то я давно не видел массовых МБ с перемычкой, запрещающей запись...<br><br>Давно уж в BIOS Setup засунуто, BIOS "щелкает перемычкой" выставляя GPIO линии чипсета так чтобы у флешки активировался пин Write Enable. Теоретически, конечно, это и вирус может сделать, но практически - на это нет никакого стандарта и никто кроме самого биоса не знает как это включать на конкретной мамке. Поэтому даже родные прошиваторы лишь обламываются и уныло бухтят про то что извольте-ка отключить сначала эту фичу, и попробуйте еще раз.<br>