Михаил Флёнов - Linux глазами хакера

Далее, анализируем целостность пакетов. Сначала выполняем команду:

rpm -qa | grep kernel

Таким образом можно проверить установленные пакеты ядра, а потом обследовать их. Если вы увидели изменения, то добейтесь возврата в исходное состояние.

После этого необходимо проверить обновления для ОС Linux и используемых вами служб. В большинстве случаев взлом происходит именно из-за устаревшего программного обеспечения. Обновите все программы. Не забудьте и Web-сценарии, которые используются на Web-сервере, потому что они также нередко становятся причиной взлома.

Если у вас Web-сервер, то я не спешил бы возобновлять его работу, потому что это может быть опасно. Возможно, что ошибка еще не исправлена, если у вас много сценариев, написанных самостоятельно. Если ваш компьютер выполняет функции почтового сервера или решает любые другие задачи, то можно возобновить работу, но продолжать тщательное наблюдение за системой.

И только на последнем этапе я рекомендую начать анализ журналов и выявление действий хакера, которые привели к взлому, параллельно наблюдая за работающей системой. Если злоумышленник снова попытается проникнуть, то вы должны увидеть это и предотвратить вторжение на раннем этапе, чтобы не пришлось повторять процесс чистки системы.

Пока вы анализируете журналы, все пользователи должны сменить свои пароли доступа к серверу и ко всем его службам.

Разбирая журналы, вы должны определить:

□ какие службы использовал хакер, и в каких журналах есть записи о его активности на вашем сервере;

□ какими учетными записями смог воспользоваться взломщик;

□ какие команды он выполнял.

Вы должны узнать как можно больше, чтобы определить, было ли выполнено все необходимое для предотвращения повторной попытки взлома. Некоторые администраторы просто возобновляют работу сервера и через какое-то время расплачиваются за это.

Желательно получить максимальное количество информации о хакере, чтобы эти сведения можно было предоставить в правоохранительные органы. Не пытайтесь бороться со взломом самостоятельно, потому что у вас может не хватить сил. Обратитесь за помощью в компетентные организации, которые обладают достаточными ресурсами для выявления и пресечения атак. Но, чувствуя безнаказанность, хакер будет продолжать вторжения, и может возникнуть ситуация, когда взломщик успеет получить свое.

Когда вы подключаетесь к FTP-серверу с помощью клиента, работающего из командной строки (например, sftp, рассмотренный в разд. 5.3 ), то для работы с сервером вам понадобятся следующие команды:

□ cd путь— изменить текущую директорию на указанную. Чтобы подняться на один уровень выше, можно выполнить команду cd .., а чтобы перейти в папку ниже текущего уровня, то можно выполнить команду cd директория;

□ bye— разорвать соединение;

□ exit— выйти из системы;

□ chmod права имя файла— изменить права доступа к файлу. Например, если вы хотите установить права доступа 770 на файл passwd в текущей директории, то нужно выполнить команду chmod 770 passwd;

□ get -Р удаленный_файл локальный_файл— скачать файл. Ключ -Рявляется необязательным и позволяет сохранить права доступа на файл в локальной системе, сделав их такими же, как и на сервере. Эта опция не работает, если файл передается между разными системами, потому что в Windows совершенно другой метод хранения прав доступа. Параметр локальный_файлуказывает на полный путь к файлу, где должен быть сохранен скаченный с сервера файл;

□ put -P локальный файл удаленный файл— закачать локальный файл на сервер;

□ help— отобразить список команд, которые разрешено выполнять;

□ pwd— показать текущую директорию;

□ rm файл— удалить файл;

□ rmdir директория— удалить директорию;

□ mkdir имя— создать директорию с указанным именем.

Вы должны учитывать, что разные FTP-серверы и FTP-клиенты могут обрабатывать команды по-разному.

□ hunt ( http://lin.fsid.cvut.cz/~kra/index.html) — одна из популярных программ прослушивания трафика. В качестве дополнительных возможностей в нее встроены: подделка MAC-адресов через рассылку фальшивых ARP-пакетов и перехват соединения;

□ dsniff ( http://monkey.org/~dugsong/dsniff/) — пакет программ для прослушивания трафика, который состоит из следующих утилит: