aq68 14.06.07, 22:38 Jest podobno takie krótkie polecenie takie polecenie sprawdzające nadpisanie plików przez intruza.Jeżeli ktoś wie ,proszę o porade. Link Zgłoś czytaj wygodnie posty
smutas Re: Nadpisane pliki-jakie polecenie w konsoli? 17.06.07, 18:11 Moze ls -al 'nazwa.pliku' ci pomoze? Jaki rodzaj pliku masz na mysli Link Zgłoś
aq68 Re: Nadpisane pliki-jakie polecenie w konsoli? 04.07.07, 17:17 W gazecie Ekspert trafiłem na artykuł pt Linux-bezpieczny system."Sprawdzenie narzędzi systemowych-Aby sprawdzić, czy nie dokonano żadnych zmian w ważnych dla systemu plikach, napisano narzędzie "chkrootkit".Jest to program sprawdzający po kolei poszczególne komendy systemowe, które mogły zostać nadpisane wersjami zawierającymi trojana".To jest to o co mi chodziło, ale mam w związku z tym kilka pytań. 1.Jako raczej średnio znający system Linux potrzebowałbym namiarów na jakiś artykuł, jak korzystać z tego co podałeś w poprzedniej odpowiedzi-chodzi mi o tłumaczenie bardziej łopatologiczne dot. cmp(1) lub diff(1). 2.Po uruchomieniu "chkrootkit" ukazało się masę linijek, z których każda jest jakoś skomentowana np.not infected, not found, nothing deleted itp.Natomiast jedna linijka nie ma takiego komentarza:"Cheking`sniffer`...eth0: PF_PACKET(/sbin/dhclient)"-czy to może świadczyć, że coś jest nie tak?A może zobaczysz całego loga i ocenisz? [root@localhost aq]# chkrootkit ROOTDIR is `/' Checking `amd'... not found Checking `basename'... not infected Checking `biff'... not found Checking `chfn'... not infected Checking `chsh'... not infected Checking `cron'... not infected Checking `date'... not infected Checking `du'... not infected Checking `dirname'... not infected Checking `echo'... not infected Checking `egrep'... not infected Checking `env'... not infected Checking `find'... not infected Checking `fingerd'... not found Checking `gpm'... not found Checking `grep'... not infected Checking `hdparm'... not infected Checking `su'... not infected Checking `ifconfig'... not infected Checking `inetd'... not tested Checking `inetdconf'... not found Checking `identd'... not found Checking `init'... not infected Checking `killall'... not infected Checking `ldsopreload'... not infected Checking `login'... not infected Checking `ls'... not infected Checking `lsof'... not infected Checking `mail'... not infected Checking `mingetty'... not infected Checking `netstat'... not infected Checking `named'... not found Checking `passwd'... not infected Checking `pidof'... not infected Checking `pop2'... not found Checking `pop3'... not found Checking `ps'... not infected Checking `pstree'... not infected Checking `rpcinfo'... not infected Checking `rlogind'... not found Checking `rshd'... not found Checking `slogin'... not infected Checking `sendmail'... not found Checking `sshd'... not infected Checking `syslogd'... not infected Checking `tar'... not infected Checking `tcpd'... not infected Checking `tcpdump'... not infected Checking `top'... not infected Checking `telnetd'... not found Checking `timed'... not found Checking `traceroute'... not found Checking `vdir'... not infected Checking `w'... not infected Checking `write'... not infected Checking `aliens'... no suspect files Searching for sniffer's logs, it may take a while... nothing found Searching for HiDrootkit's default dir... nothing found Searching for t0rn's default files and dirs... nothing found Searching for t0rn's v8 defaults... nothing found Searching for Lion Worm default files and dirs... nothing found Searching for RSHA's default files and dir... nothing found Searching for RH-Sharpe's default files... nothing found Searching for Ambient's rootkit (ark) default files and dirs... nothing found Searching for suspicious files and dirs, it may take a while... nothing found Searching for LPD Worm files and dirs... nothing found Searching for Ramen Worm files and dirs... nothing found Searching for Maniac files and dirs... nothing found Searching for RK17 files and dirs... nothing found Searching for Ducoci rootkit... nothing found Searching for Adore Worm... nothing found Searching for ShitC Worm... nothing found Searching for Omega Worm... nothing found Searching for Sadmind/IIS Worm... nothing found Searching for MonKit... nothing found Searching for Showtee... nothing found Searching for OpticKit... nothing found Searching for T.R.K... nothing found Searching for Mithra... nothing found Searching for OBSD rk v1... nothing found Searching for LOC rootkit... nothing found Searching for Romanian rootkit... nothing found Searching for HKRK rootkit... nothing found Searching for Suckit rootkit... nothing found Searching for Volc rootkit... nothing found Searching for Gold2 rootkit... nothing found Searching for TC2 Worm default files and dirs... nothing found Searching for Anonoying rootkit default files and dirs... nothing found Searching for ZK rootkit default files and dirs... nothin Searching for ShKit rootkit default files and dirs... not Searching for AjaKit rootkit default files and dirs... no Searching for zaRwT rootkit default files and dirs... not Searching for Madalin rootkit default files... nothing fo Searching for Fu rootkit default files... nothing found Searching for ESRK rootkit default files... nothing found Searching for anomalies in shell history files... nothing Checking `asp'... not infected Checking `bindshell'... not infected Checking `lkm'... Checking `rexedcs'... not found Checking `sniffer'... eth0: PF_PACKET(/sbin/dhclient) Checking `w55808'... not infected Checking `wted'... chkwtmp: nothing deleted Checking `scalper'... not infected Checking `slapper'... not infected Checking `z2'... chklastlog: nothing deleted Checking `chkutmp'... The tty of the following user proc in /var/run/utmp ! ! RUID PID TTY CMD ! root 3378 tty7 /etc/X11/X -deferglyphs 16 :0 0-LpIHMB chkutmp: nothing deleted [root@localhost aq]# Link Zgłoś
smutas Re: Nadpisane pliki-jakie polecenie w konsoli? 04.07.07, 18:13 I tu pokazales piekno systemow UNIX/Linux - tysiace narzedzi robiacych jedno zadanie wysmienicie! Twoj log wyglada na czysty Link Zgłoś
aq68 Re: Nadpisane pliki-jakie polecenie w konsoli? 06.07.07, 21:58 Dzięki.Mam jeszcze dwa pytania: czy systemy operacyjne uruchamiane z płyty np. LinOS są bezpieczne w 100%?Oczywiście nie przypuszczam, żeby na oryginalnej płytce było zainstalowane dodatkowo, ale na tej ściąganej z internetu a następnie wypalanej samemu?I drugie: załóżmy, że w komputerze (na dysku) zainstalowany jest keylogger do wykradania haseł, a ja korzystam z LinOS-a.Teoretycznie zagrożenia nie ma, ale przecież klawiatura współpracuje z zainfekowanym dyskiem.Czy jest w tym czasie jakiś przepływ informacji między klawiaturą a dyskiem co wklepuję w klawiaturę? Czy jak z powrotem przejdę na system zainstalowany na dysku może nastąpić z opóźnieniem wykradzenie hasła, czy raczej jest to niemożliwe? Link Zgłoś
smutas Re: Nadpisane pliki-jakie polecenie w konsoli? 07.07.07, 03:42 NP. 1. nie istnieje system bezpieczny w 100%, niemnij jednak LiveCD powinien dac ci wystarczajacy poziom bezpieczenstwa przez min. "nie dotykanie" twardego dysku. 2. Linux sciagniety z Internetu w znacznej wiekszosci wypadkow bedzi identyczny z tym na "firmowym" CD. Wersje ubozsze to te zalaczone w magazynach komputerowych. Podstawa bezpicznego sciagania z Internetu to ladowanie z oficjalnych stron danej dystrybuji oraz sprawdzanie check sum / sumy kontrolnej obrazu ISO. 3. Jezeli keylogger jest windowsowy a ty dzialasz pod Linuksem to taki spyware praktycznie nie ma prawa zadzialac. Taki program bedzie rozpoznany jako plik binarny ale nie jako wykonywalny. 3a. Jezeli nie usuniesz keyloggera to po restacie do Windowsa uruchomi sie ponownie. Firewall, anti-virus, anti-spyware, kodowanie hasel sa podstawa surfowania z uzyciem Windows. Link Zgłoś
unhappy Re: Nadpisane pliki-jakie polecenie w konsoli? 10.07.07, 00:55 aq68 napisał: > Dzięki.Mam jeszcze dwa pytania: czy systemy operacyjne uruchamiane z płyty np. > LinOS są bezpieczne w 100%?Oczywiście nie przypuszczam, żeby na oryginalnej > płytce było zainstalowane dodatkowo, ale na tej ściąganej z internetu a > następnie wypalanej samemu? Systemy z płyty są tak bezpieczne jak repozytoria. Parę lat temu Debian miał brzydką wpadkę z trojanem. Warto sobie porównać sumy kontrolne z dwóch różnych miejsc z tym co wypalamy. > I drugie: załóżmy, że w komputerze (na dysku) > zainstalowany jest keylogger do wykradania haseł, a ja korzystam z > LinOS-a.Teoretycznie zagrożenia nie ma, ale przecież klawiatura współpracuje z > zainfekowanym dyskiem. Klawiatura jest urządzeniem wejściowym i jako taka z dyskiem nie współpracuje. Nie wiem jak ważne dane chcesz chronić ale na dobrą sprawę jak ktoś się uprze to nic nie zrobisz. Albo ci podmieni klawiaturę, albo wręcz wsadzi ci wesołe zabawki do kompa. > Czy jest w tym czasie jakiś przepływ informacji między > klawiaturą a dyskiem co wklepuję w klawiaturę? W normalnych warunkach nie :D > Czy jak z powrotem przejdę na > system zainstalowany na dysku może nastąpić z opóźnieniem wykradzenie hasła, cz > y > raczej jest to niemożliwe? Wszystko jest możliwe. Ktoś może wykraść ci hasło nagrywając cię przez okno choćby przy pomocy teleskopu, ktoś cię może zrobić na Mittnicka, ktoś może wejść do systemu z którego aktualnie korzystasz wykorzystując błędy w oprogramowaniu usług, ktoś może fizycznie zmodyfikować twój system. Wszystko to jest kwestią poniesionych kosztów. Jeśli komuś będzie zależało akurat konkretnie na tobie to masz niewielkie szanse nie angażując całkiem sporych środków. Większe kiedy chce cię dopaść jakaś agencja rządowa, mniejsze kiedy informatyczni złodzieje. Link Zgłoś