Проверка Linux-системы на наличие следов взлома

Дестер · 09-10-11 10:51:54

Недавно на опеннете появилась очень интересная статья, наглядно демонстрирующая, что такое linux-безопасность. Перенесу её сюда, чтобы все желающие могли впечатлиться.

В процессе разбора истории со взломом kernel.org было выявлено, что атаковавшим удалось установить вредоносное ПО на Linux-машины некоторых разработчиков, используя которое были перехвачены ключи доступа. В списке рассылки разработчиков ядра Linux опубликована краткая инструкция по проверке целостности системы и выявлению следов активности злоумышленников. Суть опубликованных рекомендаций изложена ниже.

Ну, как выяснилось, имела место не "диверсия одного из разработчиков", как нас пытаются убедить линуксоиды на главной, а самый что ни на есть целенаправленный взлом, осуществлённый с применением вирусов для linux (которых, как известно, в природе нет).

Одним из очевидных способов гарантировать чистоту системы от активности злоумышленников является переустановка системы с нуля. Но прежде чем прибегнуть к переустановке, следует убедиться, что система действительно поражена. Чтобы обеспечить выявление скрывающих свое присутствие руткитов проверку желательно выполнять загрузившись с LiveCD.

И со второго же абзаца опеннет нас шокирует. В мире linux очевидным способом борьбы с вирусами является переустановка системы! А я-то, наивный, думал, что очевидным способом является сканирование системы с помощью антивирусов. Неужели антивирусов под линукс нет? Не может быть. Смотрим дальше.

1. Установка и запуск специализированных инструментов для выявления руткитов, например,
chkrootkit, ossec-rootcheck и rkhunter.
При запуске утилиты rkhunter возможно ложное срабатывание на некоторых системах
с Debian. Вызывающие ложные срабатывания факторы описаны в файле /usr/share/doc/rkhunter/README.Debian.gz

То есть антивирусы как бы есть, но они, во-первых, совсем не антивирусы, а во-вторых, могут признать заражённой абсолютно здоровую систему. Лучше перебдеть, да.

2. Проверка корректности сигнатур для всех установленных в системе пакетов.
Для дистрибутивов на базе RPM:
rpm --verify --all
Для дистрибутивов с dpkg следует использовать скрипт:
dpkg -l \*|while read s n rest; do if [ "$s" == "ii" ]; then echo $n;
fi; done > ~/tmp.txt
for f in `cat ~/tmp.txt`; do debsums -s -a $f; done
Утилиту debsums следует установить отдельно:
sudo apt-get install debsums
Вывод измененных файлов:
debsums -ca
Вывод измененных файлов конфигурации:
debsums -ce
Посмотреть пакеты без контрольных сумм:
debsums -l
Другой вариант контрольных сумм для файлов в Debian:
cd /var/lib/dpkg/info
cat *.md5sums | sort > ~/all.md5
cd /
md5sum -c ~/all.md5 > ~/check.txt 2>&1

И никаких вам гуёв. Домозозяйки, пользуйтесь консолью!

3. Проверка на то, что установленные пакеты действительно подписаны
действующими цифровыми подписями дистрибутива.
Для систем на базе пакетного менеджера RPM:
for package in `rpm -qa`; do
sig=`rpm -q --qf '%{SIGPGP:pgpsig}\n' $package`
if [ -z "$sig" ] ; then
# check if there is a GPG key, not a PGP one
sig=`rpm -q --qf '%{SIGGPG:pgpsig}\n' $package`
if [ -z "$sig" ] ; then
echo "$package does not have a signature!!!"
fi
fi
done

Итак, комедь продолжается. Интересно, для скольки пакетов будет выведено
"$package does not have a signature!!"?

4. При выявлении подозрительных пакетов их желательно удалить и установить заново.
Например, для переустановки ssh в дистрибутивах на базе RPM следует выполнить:
/etc/init.d/sshd stop
rpm -e openssh
zypper install openssh # для openSUSE
yum install openssh # для Fedora
Рекомендуется проделать эти операции, загрузившись с LiveCD и используя опцию 'rpm --root'.

Переустанавливай, пользователь, переустанавливай, не бойся. Система дружелюбна к тебе.

5. Проверка целостности системных скриптов в /etc/rc*.d и выявление
подозрительного содержимого в /usr/share. Эффективность выполнения проверок
можно гарантировать только при загрузке с LiveCD.
Для выявления директорий в /usr/share, которые не принадлежат каким-либо
пакетам в дистрибутивах на базе RPM можно использовать следующий скрипт:
for file in `find /usr/share/`; do
package=`rpm -qf -- ${file} | grep "is not owned"`
if [ -n "$package" ] ; then
echo "weird file ${file}, please check this out"
fi
done

Эффективность выполнения проверок можно гарантировать только при загрузке с LiveCD. Нет слов.

6. Проверка логов на предмет наличия нетипичных сообщений:
* Проверить записи в wtmp и /var/log/secure*, обратив особое внимание на
соединения с внешних хостов.
* Проверить упоминание обращения к /dev/mem;
* В /var/log/secure* посмотреть нет ли связанных с работой ssh строк с не
текстовой информацией в поле версии, которые могут свидетельствовать о попытках взлома.
* Проверка удаления файлов с логами, например, может не хватать одного файла с ротацией логов.
* Выявление подозрительных соединений с локальной машины во вне, например,
отправка email или попытки соединения по ssh во время вашего отсутствия.
* Анализ логов пакетного фильтра с целью выявления подозрительных исходящих
соединений. Например, даже скрытый руткитом бэкдор может проявить себя в логах
через резолвинг DNS. Общая рекомендация сводится к контролю на промежуточном
шлюзе соединений во вне для только принимающих внешние соединения машин и
соединений из вне для только отправляющих запросы клиентских машин.

Не стоит напоминать, что чтение логов без применения специальных средств эффективно только при малом количестве записей в лог-файлах. Ну и да, специального софта для просмотра логов в линуксе нет, что печально.

7. Если в процессе проверки обнаружен факт проникновения злоумышленника следует
сделать копию дисковых разделов на отдельный носитель при помощи команды "dd" с
целью более подробного анализа методов проникновения. Только после этого можно
полностью переустановить всю систему с нуля. Одновременно нужно поменять все
пароли и ключи доступа, уведомив об инциденте администраторов серверов, на
которых осуществлялась удаленная работа.

Шик и блеск. Занавес. Неудивительно, что парни с kernel.org месяц ковырялись.

www.opennet.ru/tips/2631_check_security … untu.shtml

Отредактировано Дестер (09-10-11 10:56:27)

Babusha · 09-10-11 11:50:12

Это феил, у меня просто нет слов, в итоге, самая безопасная ос - Mac OS?

MOP3E · 09-10-11 11:59:22

Babusha пишет:

Это феил, у меня просто нет слов, в итоге, самая безопасная ос - Mac OS?

Самая безопасная винда, конечно же. Потому что в винде есть все средства для излечения от вирусов. В MacOS таких средств так же мало, как и в линухе. Уже были случаи, когда MacOS заражали троянами, которые пользователь не может удалить в принципе - потому что в природе не существует средств для доступа к заражённым файлам. Политика системы такая закрытая, знаете ли. В отличие от винды.

SemyonKozakov · 09-10-11 12:00:33

Дестер, очевидно толсто.

Дестер пишет:

Ну, как выяснилось, имела место не "диверсия одного из разработчиков", как нас пытаются убедить линуксоиды на главной, а самый что ни на есть целенаправленный взлом, осуществлённый с применением вирусов для linux (которых, как известно, в природе нет).

Как-то я не понял мысль. Вредноносным ПО может быть даже команда rm -rf / lol А вирус - это программа, которая распространяется самостоятельно. Вкратце: при неограниченном root-доступе к машине я установлю туда всё, что угодно, включая трояны. Только вирусом это не будет ни разу.

Дестер пишет:

В мире linux очевидным способом борьбы с вирусами является переустановка системы! А я-то, наивный, думал, что очевидным способом является сканирование системы с помощью антивирусов.

Очевидно, что 100% гарантии не даёт даже воздержание. При наличии root-доступа к машине (опять!), любой человек может насовать закладок в него, причём в такие места, где их потом даже с десятком антивирусов и антишпионов не найдут. Очевидно, что лучше просто переустановить.

Дестер пишет:

То есть антивирусы как бы есть, но они, во-первых, совсем не антивирусы, а во-вторых, могут признать заражённой абсолютно здоровую систему. Лучше перебдеть, да.

Это не антивирусы, а специализированные инструменты для поиска руткитов. Руткиты не ищутся антивирусом, чудило lol

Дестер пишет:

И никаких вам гуёв. Домозозяйки, пользуйтесь консолью!

Домохозяйку не будут целенаправленно ломать и ставить на её машину кучу руткитов и прочей нечисти.

Дестер пишет:

Итак, комедь продолжается. Интересно, для скольки пакетов будет выведено
"$package does not have a signature!!"?

А это зависит от того, откуда были взяты пакеты. Если пакет взят с китайского форума кулхацкеров... а где гарантия, что в нём нет никакой нечисти?

Дестер пишет:

Эффективность выполнения проверок можно гарантировать только при загрузке с LiveCD. Нет слов.

Бля (пардон), поковыряйся в глубине Windows при ней же запущенной. Любая система гарантирует защиту своих базовых сервисов. Очевидно, что чтобы досмотреть всё, нужно иметь доступ ко всем файлам.

Дестер пишет:

Ну и да, специального софта для просмотра логов в линуксе нет

Пруф?

mav · 09-10-11 12:03:38

SemyonKozakov пишет:

Руткиты не ищутся антивирусом

Ну это вообще пушка. Cureit их и лечит как раз.

Дестер · 09-10-11 12:04:28

SemyonKozakov, предсказуемый ответ.

SemyonKozakov пишет:

А вирус - это программа, которая распространяется самостоятельно.

Напомнило известный диалог:
- Это факты!
- Нет, это не факты!
Вирус это был, в какие бы лингвистические дебри ты не забирался бы.

SemyonKozakov пишет:

Домохозяйку не будут целенаправленно ломать и ставить на её машину кучу руткитов и прочей нечисти.

Перевожу: в линуксе не думают о защите пользователей, пользователь никому не нужен.

SemyonKozakov пишет:

Пруф?

Лучше ты дай подтверждение тому, что они есть.

selenscy · 09-10-11 12:07:21

Дестер пишет:

Ну и да, специального софта для просмотра логов в линуксе нет, что печально

Ну вообще то есть, logcheck хотя бы, однако он только задетектит сам факт подозрительных действий. Борьба с с малварью в линупсах действительно предусматривает только переустановку системы. Другого у них не дано.

Отредактировано selenscy (09-10-11 12:08:25)

wr224 · 09-10-11 12:21:04

SemyonKozakov пишет:

Это не антивирусы, а специализированные инструменты для поиска руткитов. Руткиты не ищутся антивирусом, чудило

Всякие kis и avg internet security запросто это умеют, наверно не антивирусы...Вот ты такой молодой, а такое впечатление, что в эпохе drweb под dos застрял где-то в этом вопросе, сейчас антивирус - это комбайн, там даже модули антиспам и антифишинг есть

Добавлено спустя 04 мин 25 с:

SemyonKozakov пишет:

Домохозяйку не будут целенаправленно ломать и ставить на её машину кучу руткитов и прочей нечисти.

Целенаправленно нет, а вот если занести в репозиторий хуйню один Бог знает сколько красноглазых она поимеет

Добавлено спустя 07 мин 16 с:
Как бы ситуация с андройд маркетом сама за себя говорит

MOP3E · 09-10-11 12:34:08

SemyonKozakov пишет:

Дестер, очевидно толсто.

Попа заболела внезапно?

SemyonKozakov пишет:

Домохозяйку не будут целенаправленно ломать и ставить на её машину кучу руткитов и прочей нечисти.

Как показывает практика, ботнеты чаще всего создаются именно из компьютеров домохозяек.

Остальное - типовой уход от темы типового лунохода.

Отредактировано MOP3E (09-10-11 12:34:38)

mav · 09-10-11 12:34:20

wr224 пишет:

Как бы ситуация с андройд маркетом сама за себя говорит

Да и не только там:

По-моему, это уже слишком.
Реклама на этой борде изначально была плохой затеей, а теперь она начала приносить уже первые плоды.
Несколько дней назад при входе в /b/ с android устройства, я увидел предложение скачать некий файл adroidiopera14.apk. Интересно то, что при входе в другие разделы этого сообщения не было. Оно вылезали при открытии тредов, обновлении страницы, т.е., при любой активности. Но тогда можно было просто нажать отмены и кроме небольшого неудобства это ничего не доставляло. Спустя день зайти в раздел стало уже невозможно, поскольку если нажать отмену, то из /b/ выкидывало на главную страницу. Изначально я подумал, что это как-то связано с куклоскриптом (да, знаю, идиот). И когда меня вконец это заебало, то я все-таки скачал эту хрень и даже установил. И... с моего телефона отпавилась пачка смс сообщений на номер некого контент провайдера. Каждое по ~30 рублей. Я сразу же написал об этом Абу на юзерэхо, где он уверил меня, что это из-за рекламы и он это исправит. Любой нормальный админ пошлет нахуй таких рекламодателей, но только не Абу! Он видимо заблочил только файл operaandroidi14.apk, а уже спустя пару часов после его "фикса", появился новый файл operaandroid12.apk
Меня больше всего удивило то, что никто из анонов даже не отписался по этому поводу. Неужели всем действительно похуй? Ведь многие сидят с android устройств

testicula · 09-10-11 12:37:24

AV для линукса есть, и от крупных производителей пруф www.kaspersky.com/anti-virus_linux_workstation, например.

Учитывая частоту случаев заражений, Antivirus для линуксов НАМНОГО менее популярны (в основном устанавливаются на файл-серверах).

Тот факт что линукс (да и MacOSX) на сегодняшний момент намного безопаснее винды, по моему несомненен.

В принципе, если вот такой вой поднимать для каждого нового вируса появившегося для Windows - то придётся открывать десятки/сотни таких тем в день. Наш SLOR не выдержит lol

MOP3E · 09-10-11 12:38:33

testicula пишет:

AV для линукса есть, и от крупных производителей пруф

Как нас тут уверяют луноходы - это антивирусы для линуховых веб-серверов, проверяющие проходящий через них виндовый контент.

mav · 09-10-11 12:39:58

Ну таки есть:
www.eset.eu/products/nod32-for-linux
Гуи слизали с MSE.

Отредактировано mav (09-10-11 12:40:43)

wr224 · 09-10-11 12:42:44

mav пишет:

Да и не только там:

mav, эпично

Babusha · 09-10-11 12:46:51

Дестер пишет:

Ну и да, специального софта для просмотра логов в линуксе нет, что печально.

Конечно нету, ибо в линупсе нету единого стандарта хранения логов системе, все логи хранятся в /var/log, где царит полный хаус и беспорядок, тогда, как все логи в винде доступны в виде xml, xml - единый стандарт.

wr224 · 09-10-11 12:50:21

testicula пишет:

AV для линукса есть, и от крупных производителей пруф www.kaspersky.com/anti-virus_linux_workstation, например.

А чего же там такие саппортед дистры старые:

1) Operating System:
32-bit platforms:
Red Hat Enterprise Linux 5.2 Desktop (kernel 2.6.18-92)
Fedora 9 (kernel 2.6.25)
SUSE Linux Enterprise Desktop 10 SP2 (kernel 2.6.16.60-0.21)
openSUSE Linux 11.0 (kernel 2.6.25)
Debian GNU/Linux 4.0 r4 (kernel 2.6.24)
Mandriva Corporate Desktop 4 (kernel 2.6.12)
Ubuntu 8.04.1 Desktop Edition (kernel 2.6.25)
Linux XP Enterprise Desktop 2008 (2.6.25.10-47.3.lxp2008)
64-bit platforms:
Red Hat Enterprise Linux 5.2 Desktop (kernel 2.6.18-92)
Fedora 9 (kernel 2.6.25)
SUSE Linux Enterprise Desktop 10 SP2 (kernel 2.6.16.60-0.21)
openSUSE Linux 11.0 (kernel 2.6.25)

Уже какбэ и федора 16 на подходе, и дэбиан 6 есть, про убунту вообще молчу - 11.10 вот-вот разродится, а у них все 8.04, а мандривы свободной так вообще в списке нет, только корпоративная, не говоря уже про всяких красноглазых гентушников и слакварщиков, те вообще мимо кассы пролетают. Короче, можно сделать 2 вывода: линуховые антивирусы расчитаны на корпоративный сектор (половина дистров коммерческие, что какбэ намекает антивирус расчитан на тех кто согласен за него платить), и вывод 2 - антивирусописатели забивают в общей массе на линух, так как саппортед дистрибутивы древнее, чем говно мамонта

Отредактировано wr224 (09-10-11 12:51:56)

pavel2403 · 09-10-11 13:36:23

SemyonKozakov пишет:

При наличии root-доступа к машине (опять!), любой человек может насовать закладок в него, причём в такие места, где их потом даже с десятком антивирусов и антишпионов не найдут

Пруф или нутыпонел, да?

SemyonKozakov пишет:

Это не антивирусы, а специализированные инструменты для поиска руткитов. Руткиты не ищутся антивирусом, чудило

Да ты что??? Пруф:
Что это???

SemyonKozakov пишет:

Домохозяйку не будут целенаправленно ломать и ставить на её машину кучу руткитов и прочей нечисти.

Откуда ты знаешь??? Тебе луноходы телепатический модуль в задницу поставили???

SemyonKozakov пишет:

Бля (пардон), поковыряйся в глубине Windows при ней же запущенной. Любая система гарантирует защиту своих базовых сервисов. Очевидно, что чтобы досмотреть всё, нужно иметь доступ ко всем файлам.

Майор очевидность тихо плачет в сторонке, не отбирай у него хлеб, скотина безрогая!!! Кстати, а что на чтение линух не дает свои файлы, да??? А вот винда дает спокойно прочитать все свои файлы если права у тебя есть. О как, да!!!

SemyonKozakov пишет:

Пруф?

Простите пруф на что??? На то чего нет??? Сёма, ты идиот или у тебя лютый баттхерт???

Отредактировано pavel2403 (09-10-11 13:39:04)

wr224 · 09-10-11 13:44:25

pavel2403 пишет:

Простите пруф на что??? На то чего нет??? Сёма, ты идиот или у тебя лютый баттхерт???

Как обычно это бывает у луноходов - пернул в лужу и слился lol

Babusha · 09-10-11 14:10:48

В общем-то, это самый грандиозный линупс-феил в истории.

spoilt · 09-10-11 14:40:19

Дестер пишет:

Эффективность выполнения проверок можно гарантировать только при загрузке с LiveCD. Нет слов.

Вообще-то очень грамотный подход вне зависимости от ОС. Завирусованную винду с локерами очень трудно лечить из нее же.

Дестер пишет:

Не стоит напоминать, что чтение логов без применения специальных средств эффективно только при малом количестве записей в лог-файлах. Ну и да, специального софта для просмотра логов в линуксе нет, что печально.

В Windows читают логи полностью? Освойте grep.

mav пишет:

Cureit их и лечит как раз.

Неужели и kernel-mode rootkit'ы? Кстати, там как раз недавно всплывал очень забавный руткит... не, уже буткит для Windows.

pavel2403 · 09-10-11 15:03:37

spoilt пишет:

Завирусованную винду с локерами очень трудно лечить из нее же

Да ты что??? А пацаны-то не знали!!! на!!!stopvirus.ru/winlock/

computer user · 09-10-11 15:27:23

spoilt пишет:

В Windows читают логи полностью? Освойте grep.

Асваивайте никто не запрещает. lol
Быт может к 3011 придумает GUI, оно тоже на g начинается. lol lol lol

spoilt пишет:

Неужели и kernel-mode rootkit'ы? Кстати, там как раз недавно всплывал очень забавный руткит... не, уже буткит для Windows.

А вы о Kon-Boot слышали? tongue lol
Сделать из него чего угодно никто не мешает. Исходники имеются. big_smile

spoilt · 09-10-11 15:34:16

Babusha пишет:

Конечно нету

Есть.

Babusha пишет:

все логи хранятся в /var/log, где царит полный хаус и беспорядок

В котором месте? Все логи проименованы по имени службы.

Babusha пишет:

все логи в винде доступны в виде xml, xml - единый стандарт.

Одна проблема - он класно парсится, но плохо читается человеком. Ъ-линуксойды вообще логи через tail -f читают.

Добавлено спустя 03 мин 30 с:

pavel2403 пишет:

Да ты что??? А пацаны-то не знали!!! на!!!http://stopvirus.ru/winlock/

Старый трюк. Но вообще я не это имел в виду.

computer user пишет:

А вы о Kon-Boot слышали?

Первый раз.

Debian 2.6.18-6-6861 GRUB 0.97

Свеженькое...

Babusha · 09-10-11 15:39:21

spoilt пишет:

Есть.

Нету, я вот решил написать логгер для своей говноутилиты на своем говноязыке разметки логов (желательно делать непохожим ни на один другой) и так с каждой говноутилитой в линупсе, как заставить сие поделие нормально читаться в твой программе?

spoilt пишет:

В котором месте? Все логи проименованы по имени службы.

Блеать, не в том смысле, нету единого стандарта написания логов.

spoilt пишет:

Одна проблема - он класно парсится, но плохо читается человеком.

spoilt пишет:

Ъ-линуксойды вообще логи через tail -f читают.

Написать парсер xml на каком-нибуть руби что бы читать cat /var/log/kernel.log | rb_xml parse | tail -f дело 5 минут. А если бы баш был полноценным языком, как в руби, все можно было реализовать вот так

puts Log.parse(:boot).last 10

Отредактировано Babusha (09-10-11 15:41:14)

computer user · 09-10-11 15:47:40

spoilt пишет:

Свеженькое...

А че, попробовали и не работает? lol

Форум StopLinux

Объявление

#1 09-10-11 10:51:54

Проверка Linux-системы на наличие следов взлома

#2 09-10-11 11:50:12

Re: Проверка Linux-системы на наличие следов взлома

#3 09-10-11 11:59:22

Re: Проверка Linux-системы на наличие следов взлома

#4 09-10-11 12:00:33

Re: Проверка Linux-системы на наличие следов взлома

#5 09-10-11 12:03:38

Re: Проверка Linux-системы на наличие следов взлома

#6 09-10-11 12:04:28

Re: Проверка Linux-системы на наличие следов взлома

#7 09-10-11 12:07:21

Re: Проверка Linux-системы на наличие следов взлома

#8 09-10-11 12:21:04

Re: Проверка Linux-системы на наличие следов взлома

#9 09-10-11 12:34:08

Re: Проверка Linux-системы на наличие следов взлома

#10 09-10-11 12:34:20

Re: Проверка Linux-системы на наличие следов взлома

#11 09-10-11 12:37:24

Re: Проверка Linux-системы на наличие следов взлома

#12 09-10-11 12:38:33

Re: Проверка Linux-системы на наличие следов взлома

#13 09-10-11 12:39:58

Re: Проверка Linux-системы на наличие следов взлома

#14 09-10-11 12:42:44

Re: Проверка Linux-системы на наличие следов взлома

#15 09-10-11 12:46:51

Re: Проверка Linux-системы на наличие следов взлома

#16 09-10-11 12:50:21

Re: Проверка Linux-системы на наличие следов взлома

#17 09-10-11 13:36:23

Re: Проверка Linux-системы на наличие следов взлома

#18 09-10-11 13:44:25

Re: Проверка Linux-системы на наличие следов взлома

#19 09-10-11 14:10:48

Re: Проверка Linux-системы на наличие следов взлома

#20 09-10-11 14:40:19

Re: Проверка Linux-системы на наличие следов взлома

#21 09-10-11 15:03:37

Re: Проверка Linux-системы на наличие следов взлома

#22 09-10-11 15:27:23

Re: Проверка Linux-системы на наличие следов взлома

#23 09-10-11 15:34:16

Re: Проверка Linux-системы на наличие следов взлома

#24 09-10-11 15:39:21

Re: Проверка Linux-системы на наличие следов взлома

#25 09-10-11 15:47:40

Re: Проверка Linux-системы на наличие следов взлома

Подвал форума