Nowe posty

Autor Wątek: Czy mój ls to malware, czy nie malware  (Przeczytany 2297 razy)

Offline 1709

  • Users
  • Guru
  • *****
  • Wiadomości: 2757
  • 1709
    • Zobacz profil
Odp: Czy mój ls to malware, czy nie malware
« Odpowiedź #15 dnia: 2019-11-21, 12:24:59 »
Musisz sobie kwestie jak audytować przed atakiem i po ataku jakoś rozgraniczyć co powinieneś zrobić.
Zbieranie jak największej ilości danych jest słuszne w każdym wypadku w celu wykrycia ataku.

Ale pisząc że gdy jest możliwy dostęp do dowolnego pliku,
 to znaczy że nie możesz już niczemu w tym systemie zaufać.
( np. logi mogą zostać wyczyszczone z włamania lub sfałszowane )

Dlatego jeśli masz np. serwer to bardzo ważne są od razu powiadomienia w przypadku ataku.
( jeszcze zanim zdobędziesz podejrzenie o udanym włamaniu )
A czasami także wyłączenie urządzenia na czas ataku, choć może o wyłączeniu tylko raz słyszałem. ( zanim zostanie zainfekowane )
Dlatego gdy mamy już podejrzenie zainfekowania to podejrzany system sprawdza się z innego systemu. ( np. z live-cd )

Cytuj
Czy z poziomu C możemy zmodyfikować time-stamp utworzenia pliku ?
Skoro z poziomu komendy się da, to z większości języków programowania także.

Możesz jeszcze poczytać
np. " linux hardening guide "
i o innych narzedziach których nie wspomniałem
do audytu np. Lynis, Audit
i może np.  https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/6/html/security_guide/chap-system_auditing

Edit.
- Przy wykryciu ataku / włamania,  wyłączenie komputera / serwera może uchronić np. przed całkowitym zaszyfrowaniem danych.
W sensie ze jeśli zdążysz to istnieje szansa odzyskania części danych które jeszcze nie zostały zaszyfrowane.
Mimo wszystko czasami może być za późno i przydają się kopie zapasowe plików.
- Należy sobie zdawać sprawę ze obrona serwera przy specjalnie otwartych portach na świat jest czasami nie możliwa
ze względu choćby na ciągle znajdywanie jeszcze nie znanych luk bezpieczeństwa.
Dlatego należy posiadać przynajmniej kilka zabezpieczeń i sposobów wykrywania nieprawidłowości i być przygotowanym na reinstalacje systemu.
« Ostatnia zmiana: 2019-11-21, 23:17:18 wysłana przez 1709 »
PS: Brak polskiej czcionki, nie jest to brak lenistwa, a jej brak w systemie i brak czasu na reczne poprawki.