Dead Linux Machines Do Tell Tales

Slashdoton volt egy link egy jópofa történetre: Holliday cracking

Feltörtek egy Linuxos szervert, és utána szépen lépésről lépésre leírja, hogy hogyan derítte ki, hogy pontosan mit csinál a feltört gép: IRC bot került rá és zombie lett belőle.

A megjegyzések között akadtam rá erre a linkre: Dead Linux Machines Do Tell Tales. Ez egy hosszabb eszmefuttatás, hasznos dolgok vannak benne, pl. felhívja az elején a figyelmet egy fontos dologra, amiben a fenti hibázott: ne indítsd el a feltört gépet, mert ezzel a fájl hozzáférési dátumokat módosíthatod, és főleg ne a feltört gépen végezd a nyomozást, mert az ott lévő rendszerben nem lehet megbízni, a támadó első dolga az alap parancsok (pl. ls) felülírása.

Pár hasznos parancs a cikkből, ami jól jöhet hasonló helyzetekben:

  • dd-vel mentés készítése az eredeti merevlemezről, és a mentést vizsgálni (mentés mountolása loop,ro,noatime,nodev,noexec kapcsolókkal)
  • md5sum és openssl sha1 használata fájlok egyezésének vizsgálatára
  • file parancs egy fájl típusának megállapítására
  • find használata rejtett fájlok, frissen módosított fájlok keresése
  • strace segítségével nézni, hogy mit csinál ténylegesen a program
  • bash_history vizsgálata, hogy mit csinált a támadó (a nem teljesen idióta támadók ezt alapból törlik vagy meghamisítják)
  • valami programmal megkeresni a nemrég törölt fájlokat

Utána kéne nézni, hogy Windowson miket javasolnak hasonló esetben:)

     
Advertisements
Kategória: Tech | Közvetlen link a könyvjelzőhöz.

Vélemény, hozzászólás?

Adatok megadása vagy bejelentkezés valamelyik ikonnal:

WordPress.com Logo

Hozzászólhat a WordPress.com felhasználói fiók használatával. Kilépés / Módosítás )

Twitter kép

Hozzászólhat a Twitter felhasználói fiók használatával. Kilépés / Módosítás )

Facebook kép

Hozzászólhat a Facebook felhasználói fiók használatával. Kilépés / Módosítás )

Google+ kép

Hozzászólhat a Google+ felhasználói fiók használatával. Kilépés / Módosítás )

Kapcsolódás: %s