Re: Włamanie - co dalej?
Jak doniosły WSI, dnia Wed, 14 Nov 2007 10:17:41 +0000
Marcin Owsiany <porridge@debian.org> napisał(a):
> On Wed, Nov 14, 2007 at 08:06:48AM +0100, Jerzy Patraszewski wrote:
> > IMHO - nie masz się co przejmować za bardzo (?), jeśli twój serwer
> > był skonfigurowany zgodnie "z zasadami sztuki".
>
> Właśnie w tym problem, że nie był. Miał stare jądro, zapewne z nie
> jedną dziurą umożliwiającą uzyskanie praw nadzorcy. Więc wszystko
> rozbija się o dylemat - poświęcać czas i energię na przebudowanie
> systemu, czy przejechać chkrootkitem i wierzyć, że faktycznie nie ma
> backdoorów.
>
> Marcin
> PS: Możesz ustawić jakieś sensowniejsze zawijanie linii?
Witaj,
uważam w tej sytuacji, że szybciej ci będzie postawić system na
nowo a nie bawić się w zgadywankę. Dalej uważam, że to jakiś dzieciak,
ale mimo wszystko ja bym zrobił dd tego dysku, system postawił na nowo,
a obraz z dysku z włamu zostawił dla celów edukacyjnych. Zawsze
wieczorem, przy piwie możesz odpalić w vmware/virtualbox/xen/cokolwiek
sobie iso i rozpocząć analizę. IMHO - jeżeli sam nie masz zaufania do
systemu to go przeinstaluj poprawnie. Co do samego jądra, to grsec
uniemożliwia wykorzystanie większości nowych (i starych) dziur
(np ptrace local escalation - PoC venglina) - polecam :)
Pozdr.
sm0q
Reply to: