On Thu, Feb 12, 2004 at 07:52:49PM +0100, Женя wrote: > > > Am 12.02.2004 18:40 schrieb Иван Лох: > >Всегда считайте, что пользовательский процесс запущен Эйнштейном, а > >текстовый файл создан Пушкиным. > > Да, я с этим согласен, но невозможность остановки процесса пользователя > встречается только в << 1% случаев. В таких случаях действительно надо > принимать какие-то особые меры.
Вы же не знаете, что у него в открытом vi набрано? > А текстовые файлы Пушкина должны лежать в backup'е. Если откат до > чистого backup'а не возможен, то нужно анализировать тогда эти > текстовые файлы, а не бинарники, логи и конфиги системы. backup каталога /home делается для пользователей, а не для администратора. Попросят -- восстановите, но это не значит, что Вы должны сносить их каталог и заменять на backup. > >Не бывает одинаковых систем, будучи установленными они > >накапливают изменения разного рода. > > Вот это как раз о том и говорит, что проверка чексум системы, никогда не > даст 100% результат Эти изменения не лежат в /bin и /sbin Ценность в качестве backdoor они, как правило, не представляют. Они все больше в /var... > >Де-факто, переустанавливая систему Вы всегда теряете некую > >функциональность. > > Функциональность которая теряется при переустановке заранее известна, а > если не известна то тогда не важна. Это Вам неизвестна. Какому-нибудь пользователю она еще как известна. > >Вы крадете время у своих пользователей. Бедняга неделю будем маяться прежде чем поймет почему нечто неработает. > это как раз наоборот. В таких случаях переустановка и закрывание дыр > системы, это единственный приемлемый способ получения 100% чистого > рабочего компьютере, так как у пострадавших нет навыков forensic- Анализа. Им навыка установки брандмаура достаточно. > Неужели Вы каждый компьютер который был скомпрометирован анализируете? Linux? Да. > Неужели вы у каждого своего приватного знакомого, который получал вирус > открывающий "чёрную дверь", делали полный анализ системы и что потом > взломщик наделал на этой системе? Кому это интересно? Да есть случаи > когда это играет большую роль, но число этих случаев минимально мало и в > таких случаях надо действительно принимать другие меры. Когда его будут сажать в тюрьму за "кражу" кредитных карт, он (и его адвокат) будут вам очень благодарны за отформатированный диск. :-{ > >Очень вероятно, что Вас взломают через свежепереставленную систему > >так-же как сломали 20' назад. Вы же не знаете как Вас сломали? > > А вот этого я никогда не утверждал! Найти и закрыть дырку, через которую > была инфицирована машина, необходимо. Но для этого нужен анализ того > как был произведён взлом, а не анализ того что произошло _после_ взлома > машины. Во-первых, Ваши _другие_ машины могли атаковать с взломаного. Во-вторых, это может избавить Вас от массы неприятностей, если атаковали не _ваши_ машины. В-третьих, это бывает забавно. -- Иван Лох