Re: X11 модули

To: debian-russian@lists.debian.org
Subject: Re: X11 модули
From: Женя <yevgen_net@mail.ru>
Date: Thu, 12 Feb 2004 15:14:11 +0100
Message-id: <[🔎] c0g1nj$2uq$1@sea.gmane.org>
In-reply-to: <[🔎] 20040212064517.GB4139@45.free.net>
References: <[🔎] 895778889.20040206020344@cs.msu.su> <[🔎] c006oa$ifv$1@sea.gmane.org> <[🔎] Pine.GSO.4.53.0402061715480.11@nusun.jinr.dubna.su> <[🔎] c00p1b$fcv$1@sea.gmane.org> <[🔎] 87k72wy8dz.fsf@dimail.umc.com.ua> <[🔎] c084q4$9en$1@sea.gmane.org> <[🔎] 20040209194455.GA1764@steel.home> <[🔎] c094js$nb6$1@sea.gmane.org> <[🔎] 20040210201510.GA1249@steel.home> <[🔎] c0eeea$t0$2@sea.gmane.org> <[🔎] 20040212064517.GB4139@45.free.net>



Am 12.02.2004 07:45 schrieb Victor B. Wagner:

On 2004.02.12 at 00:26:15 +0100, Женя wrote:

2,5 Гб это наверное вместе с /usr и /usr/share.


Да, у меня  /usr и /var не имеют собственных партиций.

И тем не менее /usr у меня 1.1Gb, а /usr/share 0.7.
У тебя что - KDE или GNOME стоит, чем ещё можно столько места отгрызть?

:) Експерементируем'с. У меня и KDE, и OO.org, и Apache, и Tomcat, иТормозилла и куча всякой другой всячины. Сам / без /usr и /varдействительно меньше 100 метров.

без чексум и backup'а докажете что на ней не было ничего переменено,после того как система была скомпрометированна?
Элементарно ватсон - путем сопоставления всех файлов с файлами с
дистрибутивного носителя. Да и чексуммы там есть man debsum.

Хорошо, что делаем дальше когда узнали что из моих 2,5 ГБ 5% (~ 125 МБ)не соответствуют оригиналу? Путём сравнения было доказано, что насистеме после установки некоторых пакетов было что-то переменено.Разбираем 125МБ ручками в течении недели-двух и принимаем во вниманиечто могли допустить ошибку или просто что-то просмотреть, или закатываем100% чистую новую систему?

>>Ну да, а о ней речь и идёт. Что делать когда комп скомпроментирован (и>>полный анализ взлома не имеет значения).
>
>а надо бы.
Кому надо полный анализ, если известна брешь через которую $бандитполучил root-shell? Кого интересует какие он rootkit'ы, backdoor'ы и
А откуда это известно?

Для того чтобы узнать какая брешь была использована, полный анализсистемы не нужен. Ведь есть разница между анализом того как взломщикпопал на систему и тем что он после этого там наделал. Возьмём один OTпример MyDoom. Известно что дырка, через которую он проник, находитсямежду монитором и клавиатурой. Также известно что MyDoom открываетbackdoor на портах 3127 и 3198. Дальнейший анализ имеет только тогдасмысл, если потерпевший хочет законом преследовать преступника или онхочет узнать какую информацию получил преступник. В >> 99% случаев этицели не преследуется и у потерпевшего есть только одна потребность -работающий комп. Так что будем проводить на каждом заражённом компе (>1.000.000 штук) анализ или в течении часа закатаем новую систему, поверхчистый backup и закрываем "дырку"?


Женя

--

Messages which will be detected from spamtest.ru as SPAM will be deletedimmediately. Use [!NO SPAM!] in subject to mark your messages as notbeing SPAM. Messages marked this way are excluded from SPAM-detection.

Reply to:

Follow-Ups:
- Re: X11 модули
  - From: "Vasiliy 'Druid' Misharev" <druid@ice.ru>

References:
- Re[2]: X11 модули
  - From: Alexander GQ Gerasiov <gq@cs.msu.su>
- Re: X11 модули
  - From: Женя <yevgen_net@mail.ru>
- Re: X11 модули
  - From: Nefedov Yuri <nefedov@nusun.jinr.ru>
- Re: X11 модули
  - From: Женя <yevgen_net@mail.ru>
- Re: X11 модули
  - From: Dmitry Astapov <adept@despammed.com>
- Re: X11 модули
  - From: Женя <yevgen_net@mail.ru>
- Re: X11 модули
  - From: Alex Riesen <fork0@users.sourceforge.net>
- Re: X11 модули
  - From: Женя <yevgen_net@mail.ru>
- Re: X11 модули
  - From: Alex Riesen <fork0@users.sourceforge.net>
- Re: X11 модули
  - From: Женя <yevgen_net@mail.ru>
- Re: X11 модули
  - From: "Victor B. Wagner" <vitus@45.free.net>

Prev by Date: Re: oracle sqlplus для всех
Next by Date: Re: Буква Ё
Previous by thread: Re: X11 модули
Next by thread: Re: X11 модули
Index(es):
- Date
- Thread