Nadpisane pliki-jakie polecenie w konsoli?

14.06.07, 22:38
Jest podobno takie krótkie polecenie takie polecenie sprawdzające nadpisanie
plików przez intruza.Jeżeli ktoś wie ,proszę o porade.
    • smutas Re: Nadpisane pliki-jakie polecenie w konsoli? 17.06.07, 18:11
      Moze ls -al 'nazwa.pliku' ci pomoze? Jaki rodzaj pliku masz na mysli
      • aq68 Re: Nadpisane pliki-jakie polecenie w konsoli? 04.07.07, 17:17
        W gazecie Ekspert trafiłem na artykuł pt Linux-bezpieczny system."Sprawdzenie
        narzędzi systemowych-Aby sprawdzić, czy nie dokonano żadnych zmian w ważnych dla
        systemu plikach, napisano narzędzie "chkrootkit".Jest to program sprawdzający po
        kolei poszczególne komendy systemowe, które mogły zostać nadpisane wersjami
        zawierającymi trojana".To jest to o co mi chodziło, ale mam w związku z tym
        kilka pytań.
        1.Jako raczej średnio znający system Linux potrzebowałbym namiarów na jakiś
        artykuł, jak korzystać z tego co podałeś w poprzedniej odpowiedzi-chodzi mi o
        tłumaczenie bardziej łopatologiczne dot. cmp(1) lub diff(1).
        2.Po uruchomieniu "chkrootkit" ukazało się masę linijek, z których każda jest
        jakoś skomentowana np.not infected, not found, nothing deleted itp.Natomiast
        jedna linijka nie ma takiego komentarza:"Cheking`sniffer`...eth0:
        PF_PACKET(/sbin/dhclient)"-czy to może świadczyć, że coś jest nie tak?A może
        zobaczysz całego loga i ocenisz?
        [root@localhost aq]# chkrootkit
        ROOTDIR is `/'
        Checking `amd'... not found
        Checking `basename'... not infected
        Checking `biff'... not found
        Checking `chfn'... not infected
        Checking `chsh'... not infected
        Checking `cron'... not infected
        Checking `date'... not infected
        Checking `du'... not infected
        Checking `dirname'... not infected
        Checking `echo'... not infected
        Checking `egrep'... not infected
        Checking `env'... not infected
        Checking `find'... not infected
        Checking `fingerd'... not found
        Checking `gpm'... not found
        Checking `grep'... not infected
        Checking `hdparm'... not infected
        Checking `su'... not infected
        Checking `ifconfig'... not infected
        Checking `inetd'... not tested
        Checking `inetdconf'... not found
        Checking `identd'... not found
        Checking `init'... not infected
        Checking `killall'... not infected
        Checking `ldsopreload'... not infected
        Checking `login'... not infected
        Checking `ls'... not infected
        Checking `lsof'... not infected
        Checking `mail'... not infected
        Checking `mingetty'... not infected
        Checking `netstat'... not infected
        Checking `named'... not found
        Checking `passwd'... not infected
        Checking `pidof'... not infected
        Checking `pop2'... not found
        Checking `pop3'... not found
        Checking `ps'... not infected
        Checking `pstree'... not infected
        Checking `rpcinfo'... not infected
        Checking `rlogind'... not found
        Checking `rshd'... not found
        Checking `slogin'... not infected
        Checking `sendmail'... not found
        Checking `sshd'... not infected
        Checking `syslogd'... not infected
        Checking `tar'... not infected
        Checking `tcpd'... not infected
        Checking `tcpdump'... not infected
        Checking `top'... not infected
        Checking `telnetd'... not found
        Checking `timed'... not found
        Checking `traceroute'... not found
        Checking `vdir'... not infected
        Checking `w'... not infected
        Checking `write'... not infected
        Checking `aliens'... no suspect files
        Searching for sniffer's logs, it may take a while... nothing found
        Searching for HiDrootkit's default dir... nothing found
        Searching for t0rn's default files and dirs... nothing found
        Searching for t0rn's v8 defaults... nothing found
        Searching for Lion Worm default files and dirs... nothing found
        Searching for RSHA's default files and dir... nothing found
        Searching for RH-Sharpe's default files... nothing found
        Searching for Ambient's rootkit (ark) default files and dirs... nothing found
        Searching for suspicious files and dirs, it may take a while... nothing found
        Searching for LPD Worm files and dirs... nothing found
        Searching for Ramen Worm files and dirs... nothing found
        Searching for Maniac files and dirs... nothing found
        Searching for RK17 files and dirs... nothing found
        Searching for Ducoci rootkit... nothing found
        Searching for Adore Worm... nothing found
        Searching for ShitC Worm... nothing found
        Searching for Omega Worm... nothing found
        Searching for Sadmind/IIS Worm... nothing found
        Searching for MonKit... nothing found
        Searching for Showtee... nothing found
        Searching for OpticKit... nothing found
        Searching for T.R.K... nothing found
        Searching for Mithra... nothing found
        Searching for OBSD rk v1... nothing found
        Searching for LOC rootkit... nothing found
        Searching for Romanian rootkit... nothing found
        Searching for HKRK rootkit... nothing found
        Searching for Suckit rootkit... nothing found
        Searching for Volc rootkit... nothing found
        Searching for Gold2 rootkit... nothing found
        Searching for TC2 Worm default files and dirs... nothing found
        Searching for Anonoying rootkit default files and dirs... nothing found
        Searching for ZK rootkit default files and dirs... nothin
        Searching for ShKit rootkit default files and dirs... not
        Searching for AjaKit rootkit default files and dirs... no
        Searching for zaRwT rootkit default files and dirs... not
        Searching for Madalin rootkit default files... nothing fo
        Searching for Fu rootkit default files... nothing found
        Searching for ESRK rootkit default files... nothing found
        Searching for anomalies in shell history files... nothing
        Checking `asp'... not infected
        Checking `bindshell'... not infected
        Checking `lkm'... Checking `rexedcs'... not found
        Checking `sniffer'... eth0: PF_PACKET(/sbin/dhclient)
        Checking `w55808'... not infected
        Checking `wted'... chkwtmp: nothing deleted
        Checking `scalper'... not infected
        Checking `slapper'... not infected
        Checking `z2'... chklastlog: nothing deleted
        Checking `chkutmp'... The tty of the following user proc
        in /var/run/utmp !
        ! RUID PID TTY CMD
        ! root 3378 tty7 /etc/X11/X -deferglyphs 16 :0
        0-LpIHMB
        chkutmp: nothing deleted
        [root@localhost aq]#

        • smutas Re: Nadpisane pliki-jakie polecenie w konsoli? 04.07.07, 18:13
          I tu pokazales piekno systemow UNIX/Linux - tysiace narzedzi robiacych jedno
          zadanie wysmienicie! Twoj log wyglada na czysty
          • aq68 Re: Nadpisane pliki-jakie polecenie w konsoli? 06.07.07, 21:58
            Dzięki.Mam jeszcze dwa pytania: czy systemy operacyjne uruchamiane z płyty np.
            LinOS są bezpieczne w 100%?Oczywiście nie przypuszczam, żeby na oryginalnej
            płytce było zainstalowane dodatkowo, ale na tej ściąganej z internetu a
            następnie wypalanej samemu?I drugie: załóżmy, że w komputerze (na dysku)
            zainstalowany jest keylogger do wykradania haseł, a ja korzystam z
            LinOS-a.Teoretycznie zagrożenia nie ma, ale przecież klawiatura współpracuje z
            zainfekowanym dyskiem.Czy jest w tym czasie jakiś przepływ informacji między
            klawiaturą a dyskiem co wklepuję w klawiaturę? Czy jak z powrotem przejdę na
            system zainstalowany na dysku może nastąpić z opóźnieniem wykradzenie hasła, czy
            raczej jest to niemożliwe?
            • smutas Re: Nadpisane pliki-jakie polecenie w konsoli? 07.07.07, 03:42
              NP.
              1. nie istnieje system bezpieczny w 100%, niemnij jednak LiveCD powinien dac ci
              wystarczajacy poziom bezpieczenstwa przez min. "nie dotykanie" twardego dysku.
              2. Linux sciagniety z Internetu w znacznej wiekszosci wypadkow bedzi identyczny
              z tym na "firmowym" CD. Wersje ubozsze to te zalaczone w magazynach
              komputerowych. Podstawa bezpicznego sciagania z Internetu to ladowanie z
              oficjalnych stron danej dystrybuji oraz sprawdzanie check sum / sumy kontrolnej
              obrazu ISO.
              3. Jezeli keylogger jest windowsowy a ty dzialasz pod Linuksem to taki spyware
              praktycznie nie ma prawa zadzialac. Taki program bedzie rozpoznany jako plik
              binarny ale nie jako wykonywalny.
              3a. Jezeli nie usuniesz keyloggera to po restacie do Windowsa uruchomi sie
              ponownie. Firewall, anti-virus, anti-spyware, kodowanie hasel sa podstawa
              surfowania z uzyciem Windows.
            • unhappy Re: Nadpisane pliki-jakie polecenie w konsoli? 10.07.07, 00:55
              aq68 napisał:

              > Dzięki.Mam jeszcze dwa pytania: czy systemy operacyjne uruchamiane z płyty np.
              > LinOS są bezpieczne w 100%?Oczywiście nie przypuszczam, żeby na oryginalnej
              > płytce było zainstalowane dodatkowo, ale na tej ściąganej z internetu a
              > następnie wypalanej samemu?

              Systemy z płyty są tak bezpieczne jak repozytoria. Parę lat temu Debian miał
              brzydką wpadkę z trojanem. Warto sobie porównać sumy kontrolne z dwóch różnych
              miejsc z tym co wypalamy.

              > I drugie: załóżmy, że w komputerze (na dysku)
              > zainstalowany jest keylogger do wykradania haseł, a ja korzystam z
              > LinOS-a.Teoretycznie zagrożenia nie ma, ale przecież klawiatura współpracuje z
              > zainfekowanym dyskiem.

              Klawiatura jest urządzeniem wejściowym i jako taka z dyskiem nie współpracuje.
              Nie wiem jak ważne dane chcesz chronić ale na dobrą sprawę jak ktoś się uprze to
              nic nie zrobisz. Albo ci podmieni klawiaturę, albo wręcz wsadzi ci wesołe
              zabawki do kompa.

              > Czy jest w tym czasie jakiś przepływ informacji między
              > klawiaturą a dyskiem co wklepuję w klawiaturę?

              W normalnych warunkach nie :D

              > Czy jak z powrotem przejdę na
              > system zainstalowany na dysku może nastąpić z opóźnieniem wykradzenie hasła, cz
              > y
              > raczej jest to niemożliwe?

              Wszystko jest możliwe. Ktoś może wykraść ci hasło nagrywając cię przez okno
              choćby przy pomocy teleskopu, ktoś cię może zrobić na Mittnicka, ktoś może wejść
              do systemu z którego aktualnie korzystasz wykorzystując błędy w oprogramowaniu
              usług, ktoś może fizycznie zmodyfikować twój system. Wszystko to jest kwestią
              poniesionych kosztów. Jeśli komuś będzie zależało akurat konkretnie na tobie to
              masz niewielkie szanse nie angażując całkiem sporych środków. Większe kiedy chce
              cię dopaść jakaś agencja rządowa, mniejsze kiedy informatyczni złodzieje.
    • samobcy Re: Nadpisane pliki-jakie polecenie w konsoli? 14.07.07, 11:06
      tripwire ?
Pełna wersja