Снова к вопросу об анатомии вампиров
Как оказалось, часть читателей слишком буквально восприняла предыдущую статью о вампирах (см. , 2000, ©12). В ней, в действительности, не шло речи о поимке крэкеров. Просто данная ситуация была использована для продолжения разговора о возможностях команд shell, потенциальных проблемах и т.д. Гоняться за крэкерами с командами ls или find занятие любопытное, но не очень эффективное. Опыт, как вы видите не отрицательный - что-то сделать можно (особенно, если крэкер-душка тексты оставляет), но и не положительный - всех фокусов вы не найдете. Если ваша система после крэкера похожа на фаршированную утку и готова быть съеденной любой бездомной собакой, то далеко вы не уедете. Рано или поздно вы поменяете один из конфигурационных файлов (а /etc/passwd и /etc/inetd.conf, например, были изменены администратором после ) и дверка будет зафиксирована не только в файле, но, возможно, и в вашем сознании - так было. Можно, конечно, иметь диск с полной копией системы и заниматься сравнением, но это может быть перебором по ресурсам (не путать с backup, который абсолютно необходим). Как правило, используется хранение списка файлов (дабы проверить появление/исчезновение файла), прав доступа и того или иного типа.
Заметим, что для простой проверки можно использовать базу rpm. Например, у нас возникло подозрение, что подменили login (как мы помним, а если не помним, то используем which, - /bin/login):
[root@localhost rpm]# rpm
-q -f /bin/login
util-linux-2.10f-7
[root@localhost rpm]# rpm
-V util-linux-2.10f-7
S.5....T c /etc/pam.d/login
[root@localhost rpm]#
Первая из команд позволяет определить пакет, из которого пришел /bin/login, вторая требует проверки всех файлов пакета. В данном случае обнаружена только модификация конфигурационного файла /etc/pam.d/login (S - размер, 5 - контрольная сумма MD5, T - время модификации). Аналогично, конечно, можно попробовать сказать:
[root@localhost rpm]# rpm -V -a
S.5....T c /etc/services
S.5....T c /etc/localtime
.......T c /etc/nsswitch.conf
Это займет... м-м, некоторое время. Ясно, что в основном это будут конфигурационные файлы. При помощи подкоманд типа -l, -dump и т.п. можно посмотреть установочные характеристики файлов пакета. Rpm проверяет только то, что было установлено, но не ваше собственное творчество. Есть и более гибкие средства.При использовании одного из стандартных средств (иногда они поставляются непосредственно с системой и общеизвестны) бывают попытки подмены данных после подмены программы. Поэтому новые средства предполагают шифрование базы данных файлов. В принципе, конечно, лучше хранить эти данные отдельно.
Можно использовать и какое-либо средство собственной разработки. В мою копилку недавно прислали соответствующий экземпляр скрипта специально для проверки контрольной суммы на компьютере-источнике и после копирования на новом компьютере. Скрипт прислан, будто специально, для рубрики и, похоже, составлялся под лозунгом :
#!/bin/sh
# lspr subDirSrc
Usage () {
echo
exit 1
}
if [ $# = 0 ] ; then Usage ; fi
###########################
#tdir=/cdrom
tdir=$1
prot=check_summa
if [ ! -d ${tdir} ] ; then
echo Directory ${tdir} does not
exist
Usage
fi
if [ -f $prot ]
then
rm $prot
fi
for file in `find ${tdir} -name `
do
if [ -f ${file} ]
then
cksum ${file} | sed -e >> $prot
fi
done
cksum $prot | sed -e
##rm $prot
Автор письма предлагает особо рассмотреть вариант копирования файлов через Windows-компьютер (чем почти гарантируется несовпадение общей контрольной суммы), хотя и без этого скрипт великолепен.
Читателю предыдущей статьи, обратившему внимание на проверяемый диапазон дат, должно быть совершенно очевидно, что система очень давно . Соответственно и надежда на записи в регистрационных файлах мала. Правда, с другой стороны, в сети принцип возвращения преступника на место преступления действует значительно лучше, чем в жизни. Поэтому после переустановки (если, конечно, вы не можете сделать более точное определение повреждений при помощи контрольных сумм и т.п.), кроме более корректного конфигурирования, главное - не забыть повесить звоночек на наиболее полюбившиеся ему службы. Можно их даже , дабы не слишком огорчать. И... злоумышленник обязательно придет на чашечку чая. Тут, конечно, не без тонкостей типа подмены адресов или адресации через проходной компьютер, что может привести к шумному разбирательству, но многое проверить вполне можно.