Re: X11 модули
Am 12.02.2004 07:45 schrieb Victor B. Wagner:
On 2004.02.12 at 00:26:15 +0100, Женя wrote:
2,5 Гб это наверное вместе с /usr и /usr/share.
Да, у меня /usr и /var не имеют собственных партиций.
И тем не менее /usr у меня 1.1Gb, а /usr/share 0.7.
У тебя что - KDE или GNOME стоит, чем ещё можно столько места отгрызть?
:) Експерементируем'с. У меня и KDE, и OO.org, и Apache, и Tomcat, и
Тормозилла и куча всякой другой всячины. Сам / без /usr и /var
действительно меньше 100 метров.
без чексум и backup'а докажете что на ней не было ничего переменено,
после того как система была скомпрометированна?
Элементарно ватсон - путем сопоставления всех файлов с файлами с
дистрибутивного носителя. Да и чексуммы там есть man debsum.
Хорошо, что делаем дальше когда узнали что из моих 2,5 ГБ 5% (~ 125 МБ)
не соответствуют оригиналу? Путём сравнения было доказано, что на
системе после установки некоторых пакетов было что-то переменено.
Разбираем 125МБ ручками в течении недели-двух и принимаем во внимание
что могли допустить ошибку или просто что-то просмотреть, или закатываем
100% чистую новую систему?
>>Ну да, а о ней речь и идёт. Что делать когда комп скомпроментирован (и
>>полный анализ взлома не имеет значения).
>
>а надо бы.
Кому надо полный анализ, если известна брешь через которую $бандит
получил root-shell? Кого интересует какие он rootkit'ы, backdoor'ы и
А откуда это известно?
Для того чтобы узнать какая брешь была использована, полный анализ
системы не нужен. Ведь есть разница между анализом того как взломщик
попал на систему и тем что он после этого там наделал. Возьмём один OT
пример MyDoom. Известно что дырка, через которую он проник, находится
между монитором и клавиатурой. Также известно что MyDoom открывает
backdoor на портах 3127 и 3198. Дальнейший анализ имеет только тогда
смысл, если потерпевший хочет законом преследовать преступника или он
хочет узнать какую информацию получил преступник. В >> 99% случаев эти
цели не преследуется и у потерпевшего есть только одна потребность -
работающий комп. Так что будем проводить на каждом заражённом компе (>
1.000.000 штук) анализ или в течении часа закатаем новую систему, поверх
чистый backup и закрываем "дырку"?
Женя
--
Messages which will be detected from spamtest.ru as SPAM will be deleted
immediately. Use [!NO SPAM!] in subject to mark your messages as not
being SPAM. Messages marked this way are excluded from SPAM-detection.
Reply to: