Re: X11 модули
On Thu, Feb 12, 2004 at 07:52:49PM +0100, Женя wrote:
>
>
> Am 12.02.2004 18:40 schrieb Иван Лох:
> >Всегда считайте, что пользовательский процесс запущен Эйнштейном, а
> >текстовый файл создан Пушкиным.
>
> Да, я с этим согласен, но невозможность остановки процесса пользователя
> встречается только в << 1% случаев. В таких случаях действительно надо
> принимать какие-то особые меры.
Вы же не знаете, что у него в открытом vi набрано?
> А текстовые файлы Пушкина должны лежать в backup'е. Если откат до
> чистого backup'а не возможен, то нужно анализировать тогда эти
> текстовые файлы, а не бинарники, логи и конфиги системы.
backup каталога /home делается для пользователей, а не для
администратора. Попросят -- восстановите, но это не значит, что Вы
должны сносить их каталог и заменять на backup.
> >Не бывает одинаковых систем, будучи установленными они
> >накапливают изменения разного рода.
>
> Вот это как раз о том и говорит, что проверка чексум системы, никогда не
> даст 100% результат
Эти изменения не лежат в /bin и /sbin Ценность в качестве backdoor они,
как правило, не представляют. Они все больше в /var...
> >Де-факто, переустанавливая систему Вы всегда теряете некую
> >функциональность.
>
> Функциональность которая теряется при переустановке заранее известна, а
> если не известна то тогда не важна.
Это Вам неизвестна. Какому-нибудь пользователю она еще как известна.
> >Вы крадете время у своих пользователей.
Бедняга неделю будем маяться прежде чем поймет почему нечто неработает.
> это как раз наоборот. В таких случаях переустановка и закрывание дыр
> системы, это единственный приемлемый способ получения 100% чистого
> рабочего компьютере, так как у пострадавших нет навыков forensic- Анализа.
Им навыка установки брандмаура достаточно.
> Неужели Вы каждый компьютер который был скомпрометирован анализируете?
Linux? Да.
> Неужели вы у каждого своего приватного знакомого, который получал вирус
> открывающий "чёрную дверь", делали полный анализ системы и что потом
> взломщик наделал на этой системе? Кому это интересно? Да есть случаи
> когда это играет большую роль, но число этих случаев минимально мало и в
> таких случаях надо действительно принимать другие меры.
Когда его будут сажать в тюрьму за "кражу" кредитных карт, он (и его
адвокат) будут вам очень благодарны за отформатированный диск. :-{
> >Очень вероятно, что Вас взломают через свежепереставленную систему
> >так-же как сломали 20' назад. Вы же не знаете как Вас сломали?
>
> А вот этого я никогда не утверждал! Найти и закрыть дырку, через которую
> была инфицирована машина, необходимо. Но для этого нужен анализ того
> как был произведён взлом, а не анализ того что произошло _после_ взлома
> машины.
Во-первых, Ваши _другие_ машины могли атаковать с взломаного. Во-вторых,
это может избавить Вас от массы неприятностей, если атаковали не _ваши_
машины. В-третьих, это бывает забавно.
--
Иван Лох
Reply to: