Bir Linux sunucusunun bir hafta boyunca aşırı düşük güvenlik ilkesiyle (r / w anonim Samba klasörleri, varsayılan yönetici parolası olan Firebird veritabanı sunucusu, güvenlik duvarı vb.) İnternete maruz kalması durumunda sistemin nasıl çalıştığından nasıl emin olabilirim? tam biçimlendirme ve yeniden yükleme olmadan tehlikeye atılmadı, sadece SSH üzerinden uzaktan erişiliyor mu?
Yanıtlar:
Normalde chkrootkit gibi bir araçla yerel bir kontrol öneririm , ancak kontrolü çalıştırmanın tek yolu bunu uzaktan yapmaksa , bunun yerine Rootkit Hunter'ı denemenizi tavsiye ederim .
Rookit Hunter, aşağıdakiler gibi testleri çalıştırarak rootkit'leri ve benzeri etkinlikleri kontrol eder ( daha fazla bilgi için bkz. Proje Bilgileri ):
Diğerlerinin söylediği gibi, hizmetinizle herhangi bir kurcalama olmadığından emin olmanın tek kesin yolunun onu yeniden oluşturmak olduğunu eklemek istiyorum. Bu araçlar iyi çalışır, ancak% 100 başarı garantisi değildir.
Bu cevabı duymak istediğiniz şey olmadığını biliyorum ama işte yine de gidiyoruz. Sistemin temiz olduğundan emin olmak için sistemi kontrol etmenin en iyi yolu sunucuyu silmek ve yeniden oluşturmaktır. Aşağıdakileri yaparım:
Eğer okumazsanız, okumaya başlayacağım bazı kaynaklar.
[bağlantı metni] [1] bağlantı metni bağlantı metni bağlantı metni
[1]: http://www.sans.org/reading_room/whitepapers/linux/linux-rootkits-beginners-prevention-removal_901 "Linux Kök Başlayanlar"
Ayrıca istediğiniz cevabı değil, bir sistemin kök salmış olması ihtimali varsa, sistemin temiz olduğundan% 100 emin olmak çok zor olabilir. Rootkit'lerin algılanması zor olacak şekilde tasarlanmıştır. Çeşitli kök denetleyicileri çalıştırır ve temiz denetler, o zaman "büyük olasılıkla" sistem temiz.
Güvenlik bir endişe ise, sadece yukarıdaki posterde olduğu gibi yeniden inşa etmeyi veya iyi yedeklemelerden geri yüklemeyi düşünürüm.
Burada gerçekten proaktif olmalısın. Makinelerde rootkit'leri tespit etmenin güvenilir bir yolu yoktur, bu nedenle ilk etapta oraya gelmelerini önlemeniz ve girişte bunları tespit etmenin yollarını bulmanız gerekir (örn. Tripwire ve kilitli arayüzler aracılığıyla).
Bir makineden herhangi bir şekilde yararlandığını düşünüyorsanız, yeniden yüklemeniz gerekir - yeniden yükleme işleminden kısa bir süre sonra temizlemenin garantili bir yolu yoktur. En güvenli seçenek.
RKhunter, Tripwire vs harika, ama gerçekten sadece olaydan önce yüklenmişlerse fayda - bu anahtar dosyaların değiştirilip değiştirilmediğini tespit etmek için harika olmasıdır. RKHunter'ı şimdi yükleyip çalıştırırsanız, birçok rootkit'in dahil edildiğini algılar, ancak bir saldırganın işletim sisteminde veya kullandığınız uygulamalarda açtığı arka kapıları algılamaz.
Örneğin, bir bilgisayara gizlice girebilir, yeni bir kullanıcı oluşturabilir, onlara SSH ve sudo izinleri verebilir ve daha sonra meşru görünümlü bir yapılandırmayı yerinde bırakarak ve rootkit'leri bırakmadan temizleyebilirsiniz - daha sonra tekrar gelin ve kötülüğünüzü yapın.
Yapılacak en iyi şey, hangi bağlantı noktalarının onları dinleyen hizmetlere sahip olduğunu, ardından tüm bu hizmetlerin yapılandırmasına bakın ve hepsinin meşru olduklarından emin olmaktır. Ardından güvenlik duvarı yapılandırmanıza bakın ve gerek duymadığınız bağlantı noktalarını hem içeri hem de giden kilitleyin. Sonra bazı script-kiddie dağınıklık içinde bir kök kiti düşüp düşmediğini görmek için RKHunter vb yükleyin.
Dürüst olmak gerekirse, muhtemelen JJ'nin önerdiği şeyi yapmak ve yeniden inşa etmek, bilgisayarın tehlikeye atılmadığından kesinlikle emin olmaktan daha az iştir. İşletim sistemi ve yapılandırma değil, değerli olan verilerdir (kurulumdaki çalışma saatleri dışında).
Senden daha akıllı biri tarafından kırılmadığından asla emin olamazsın.
İlk adım gerçekten rkhunter / chkrootkit olmalı, ancak geçmişte belirli paket yöneticilerine dahil edilen özelliklerle de iyi şanslar yaşadım, örneğin sisteminizdeki tüm paketleri inceleyecek ve kontrol edecek içerdikleri dosyaların MD5Sums değerleri diskteki dosyalardan farklı değildir.
Çekirdek ikili dosyalar RPM veya DPKG veritabanlarında belirtilenlerle gerçekten aynı MD5'lere sahip olmalıdır, bu yüzden farklıysa garip bir şey olduğunu bilirsiniz.
Koşu sisteminizin güvenliğinin aşılıp aşılmadığını belirlemenin en etkili yolu İkinci Bakış kullanmaktır . Dağıtım satıcısının sevk ettikleri ile tutarlı olduklarından emin olmak için çekirdeği ve bellekteki tüm çalışan yazılımı doğrular. Bu, bilinen belirli enfeksiyonların eserlerini arayan rkhunter, chkrootkit, vb.'den çok daha iyi bir yaklaşımdır . İkinci Bakış, işletim sisteminin bütünlüğü hakkında herhangi bir varsayımda bulunmaz, bu nedenle bir olaydan önce kullanmanız veya yüklemeniz gerekmez.
(Feragatname: Second Look'un baş geliştiricisiyim.)