nixp.ru v3.0

30 мая 2017,
вторник,
08:36:34 MSK

DevOps с компанией «Флант»
Moris написал 13 мая 2005 года в 17:04 (282 просмотра) Ведет себя неопределенно; открыл 5 тем в форуме, оставил 9 комментариев на сайте.

Ребята, у меня есть несколько вопросов по безопастности:

1. Как в линуксе можно обнаружить трояна. Проводить какое-то сканирование или как? Если да то чем?

2. Как можно оборвать/отключить подозрительное соединение? Какой командой?

… и последний вопрос…

3. Как можно «в ручную» закрыть какой-то определенный порт?

Если ответы выходять за рамки одной-двух строк то дайте пожалуйста ссылку где можно об это почитать. Именно конкретно по этим вопросам а не по безопастности в целом…

// Тему переместил(а) fly4life из форума «UNIX FAQ».

Uncle Theodore
Moris
Ребята, у меня есть несколько вопросов по безопастности:

1. Как в линуксе можно обнаружить трояна. Проводить какое-то сканирование или как? Если да то чем?

Проверь свои порты nmap’ом. Прогони

lsof -i4 -i6

от рута, посмотри, какие соединения активны в данный момент. Хороший троян не ловится ps’ом, но хороших троянов не так уж и много… :-)

2. Как можно оборвать/отключить подозрительное соединение? Какой командой?

Убей процесс, который им (соединением) пользуется. Закрой порт или запрети IP iptables’ами.

… и последний вопрос…

3. Как можно «вручную» закрыть какой-то определенный порт?

iptables’ами. -j DROP и все дела. :-) Только надо ли?

Good Luck,

UT

propeller

А еще полезно было бы взять эти самые lsof, ps, nmap, netstat свежескомпилированые, или с другого компа.

Genie
propeller
А еще полезно было бы взять эти самые lsof, ps, nmap, netstat свежескомпилированые, или с другого компа.

скомпилированные статично с библиотеками.

потому как существует вероятность root-kit, таким образом содержание некоторых системных библиотек/программ может быть изменено злоумышленником.

как вариант усложнения жизни оным — в линухе есть chattr, поиграв которой и сныкав в дальний угол — можно сильно озадачить крякера. ;)

propeller

Что-то я не понял, а чем поможет chattr? Это разве что заранее надо побеспокоиться. а после взлома какой смысел?

Genie
Это разве что заранее надо побеспокоиться. а после взлома какой смысел?

Ага, надо «до момента» озаботиться..

Тут довольно хороший документ в соседней теме привели, почитай, «как» оно может помочь. Кстати, man chattr несколько более информативнее.

Yorik

Юзай samhain, chkrootkit. Они простые до безобразия, без проблем компилируются.

Как можно "вручную" закрыть какой-то определенный порт?

Cмотрим, к какому порту какой процесс привязан(имя процесса соответствует имени проги):

#netstat -pantu

Увидишь pid/имя процесса.

Далее kill -9 pid_процесса или killall имя_процесса