Moris
написал 13 мая 2005 года в 17:04 (673 просмотра)
Ведет себя
неопределенно; открыл 5 тем в форуме, оставил 9 комментариев на сайте.
Ребята, у меня есть несколько вопросов по безопастности:
1. Как в линуксе можно обнаружить трояна. Проводить какое-то сканирование или как? Если да то чем?
2. Как можно оборвать/отключить подозрительное соединение? Какой командой?
… и последний вопрос…
3. Как можно «в ручную» закрыть какой-то определенный порт?
Если ответы выходять за рамки одной-двух строк то дайте пожалуйста ссылку где можно об это почитать. Именно конкретно по этим вопросам а не по безопастности в целом…
// Тему переместил(а) fly4life из форума «UNIX FAQ».
Последние комментарии
- OlegL, 17 декабря в 15:00 → Перекличка 21
- REDkiy, 8 июня 2023 года в 9:09 → Как «замокать» файл для юниттеста в Python? 2
- fhunter, 29 ноября 2022 года в 2:09 → Проблема с NO_PUBKEY: как получить GPG-ключ и добавить его в базу apt? 6
- Иванн, 9 апреля 2022 года в 8:31 → Ассоциация РАСПО провела первое учредительное собрание 1
- Kiri11.ADV1, 7 марта 2021 года в 12:01 → Логи catalina.out в TomCat 9 в формате JSON 1
ecobeing.ru
Экология и вегетарианство на благо всем живым существам Планеты.
Проверь свои порты nmap’ом. Прогони
lsof -i4 -i6
от рута, посмотри, какие соединения активны в данный момент. Хороший троян не ловится ps’ом, но хороших троянов не так уж и много… :-)
Убей процесс, который им (соединением) пользуется. Закрой порт или запрети IP iptables’ами.
iptables’ами. -j DROP и все дела. :-) Только надо ли?
Good Luck,
UT
А еще полезно было бы взять эти самые lsof, ps, nmap, netstat свежескомпилированые, или с другого компа.
скомпилированные статично с библиотеками.
потому как существует вероятность root-kit, таким образом содержание некоторых системных библиотек/программ может быть изменено злоумышленником.
как вариант усложнения жизни оным — в линухе есть chattr, поиграв которой и сныкав в дальний угол — можно сильно озадачить крякера. ;)
Что-то я не понял, а чем поможет chattr? Это разве что заранее надо побеспокоиться. а после взлома какой смысел?
Ага, надо «до момента» озаботиться..
Тут довольно хороший документ в соседней теме привели, почитай, «как» оно может помочь. Кстати, man chattr несколько более информативнее.
Юзай samhain, chkrootkit. Они простые до безобразия, без проблем компилируются.
Cмотрим, к какому порту какой процесс привязан(имя процесса соответствует имени проги):
#netstat -pantu
Увидишь pid/имя процесса.
Далее kill -9 pid_процесса или killall имя_процесса