Re: X11 модули

[Женя <yevgen_net@mail.ru>]

Am 12.02.2004 20:23 schrieb Иван Лох:
> On Thu, Feb 12, 2004 at 07:52:49PM +0100, Женя wrote:
> > Am 12.02.2004 18:40 schrieb Иван Лох:

> > >Всегда считайте, что пользовательский процесс запущен Эйнштейном, а
> > >текстовый файл создан Пушкиным.
> >
> > Да, я с этим согласен, но невозможность остановки процесса пользователя 
> > встречается только в << 1% случаев. В таких случаях действительно надо 
> > принимать какие-то особые меры. 
>
> Вы же не знаете, что у него в открытом vi набрано?

А я и не говорю что сразу после того как был обнаружен взлом, сразу же 
надо плату форматировать.

> > А текстовые файлы Пушкина должны лежать в backup'е. Если откат до
> > чистого backup'а не возможен, то нужно анализировать тогда эти
> > текстовые файлы, а не бинарники, логи и конфиги системы..
>
> backup каталога /home делается для пользователей, а не для
> администратора. Попросят -- восстановите, но это не значит, что Вы
> должны сносить их каталог и заменять на backup.

Если исходит опасность от /home, то в конзунсе с пользователями 
необходимые файлы которых нет в backup'е придётся проанализировать, всё 
остальное (>> 99%) с backup'a.

> > Функциональность которая теряется при переустановке заранее известна, а 
> > если не известна то тогда не важна. 
>
> Это Вам неизвестна. Какому-нибудь пользователю она еще как известна.

Это всё можно разъяснить перед переустановкой.

> Бедняга неделю будем маяться прежде чем поймет почему нечто неработает.

А кто говорит что его уведомить не надо? И конечно же перед 
переустановкой, найти для обоих сторон приемлемое решение.

> > это как раз наоборот. В таких случаях переустановка и закрывание дыр 
> > системы, это единственный приемлемый способ получения 100% чистого 
> > рабочего компьютере, так как у пострадавших нет навыков forensic- Анализа.
>
> Им навыка установки брандмаура достаточно.

Брандмауэр на скомпрометированной системе имеет мало смысла. Установить, 
настроить и своевременно контролировать брандмауэр стоит не малых усилий 
и денег. Так зачем это? Кроме того, кто запретит вредоносной программе 
на 80 порт связь создавать?

> > Неужели Вы каждый компьютер который был скомпрометирован анализируете? 
>
> Linux? Да. 

По настоящему, что после этого Вы на 100% уверены что ничего не упустили?

> Во-первых, Ваши _другие_ машины могли атаковать с взломаного. 

Ну во-первых Вы на скомпрометированной машине скорее всего ничего такого 
не найдёте, потому как взломщик всё за собой почистит. Ну а во-вторых 
если на другую машину вломились, то независимо от первой, её лечить надо.

> Во-вторых, это может избавить Вас от массы неприятностей, если
> атаковали не _ваши_ машины. 

Правоохранительные органы будут к Вам сначала подозрительно относиться, 
независимо от того предоставите Вы им _свой_ анализ или нет. Ведь если 
они Вам не доверяют, то они и Вашему анализу доверять не будут. Кроме 
того, Вы скорее всего всё-равно никаких улик не найдёте, которые бы 
доказывали Вашу невиновность. А снять image и положить его на всякий 
случай, могло бы в обоих случаях не помешать.

> В-третьих, это бывает забавно.

Ну против этого я конечно ничего сказать не смогу :) В текстовых файлах 
копошится ещё ладно, а вот Reverse Engineering бинарников, не каждому 
удовольствие доставляет и очень уж это кропотливое и продолжительное дело.

Женя

--
Messages which will be detected from spamtest.ru as SPAM will be deleted 
immediately. Use [!NO SPAM!] in subject to mark your messages as not 
being SPAM. Messages marked this way are excluded from SPAM-detection.