- •13 Возможных вариантов вторжения в систему
- •1. Уведомления про опасность
- •2. Изменение содержимого Web-страницы
- •3. Подозрительное уменьшение объема свободного места на жестком диске
- •4. Высокая интенсивность работы в сети
- •5. Предупреждения других администраторов
- •6. “Неразборчивый” режим сетевых интерфейсов
- •7. Уничтожение или изменение файлов системных журналов
- •8. Редактирование файлов utmp и wtmp
- •9. Присутствие новых пользователей в системе
- •10. Запуск необычных процессов
- •11. Необъяснимое использование центрального процессора
- •12. Взлом учетных записей локальных пользователей для доступа к удаленным компьютерам
- •13. Необычная работа компьютера
- •Вопрос 5. Методы оценки опасности угроз Оценка угроз безопасности автоматизированным информационным системам
5. Предупреждения других администраторов
Если ваш компьютер используется для проведения атак на другие машины, то системные администраторы этих хостов могут уведомить вас о происходящем. Не забывайте, что они могут заподозрить и вас, поэтому не ждите добрых приветствий.
6. “Неразборчивый” режим сетевых интерфейсов
Если хакер захочет перехватывать всю информацию, передающуюся по атакуемой сети, то он постарается перевести аппаратные средства компьютера в так называемый неразборчивый режим (режим, позволяющий получать все проходящие по сети пакеты). С помощью команды ifconfig -а можно проверить наличие установленного параметра PROMISC.
7. Уничтожение или изменение файлов системных журналов
Искушенные хакеры могут удалить отдельные строки из файлов системных журналов, в которых содержится информация о получении ими несанкционированного доступа к ресурсам системы. Вместо этого неопытные взломщики удаляют системные журналы целиком. Подозрительными можно считать любые системные журналы, в которых отсутствуют отчеты за определенный период времени. Поэтому желательно сохранять файлы системных журналов на нескольких серверах (например, с помощью syslog) и при возникновении любых подозрений сравнивать копии этих файлов.
8. Редактирование файлов utmp и wtmp
Хакеры могут уничтожать записи о своем входе в систему из файлов журналов utmp и wtmp (это можно проделать довольно быстро с помощью программ zap, wipe или vanish2) или же удалить сами эти файлы, чтобы скрыть факт своего присутствия в системе. Получение урезанного отчета утилиты last может означать, что хакер просто удалил ненужную ему информацию. Программы chkwtmp и chklastlog позволяют обнаружить следы вредоносных действий относительно файлов utmp и wtmp.
9. Присутствие новых пользователей в системе
Наличие записей о новых пользователях в файле паролей наверняка означает компрометацию данного компьютера, выполненную неопытным хакером, который не ожидает, что его присутствие может быть обнаружено. Взломщики часто используют имена пользователей, похожие на имена законных пользователей, уже работающих в системе, например lpr вместо lp или uucpl и т.д., или имена, похожие на жаргонные выражения хакеров, например t00r или 0wn3d.
10. Запуск необычных процессов
Процессы, которые не были запущены владельцем компьютера и не являются системными, могут быть инициированы хакером. Многие программы запускаются демоном cron, поэтому не стоит сразу бить тревогу, а внимательно проверить, что подозрительный процесс действительно не запущен самой системой. Например, программа slocate часто является причиной ложной тревоги, поскольку она требует использования значительных ресурсов центрального процессора и доступа к диску, хотя и представляет собой вполне легитимный (хотя и необязательный) компонент системы.
11. Необъяснимое использование центрального процессора
Опытные хакеры могут скрывать запушенные ими процессы или просто давать им названия, соответствующие названиям стандартных системных программ, подобных cron, inetd или slocate, что позволит усложнить их выявление. Если на компьютере наблюдается неоправданно высокое использование ресурсов центрального процессора или машина начинает работать слишком медленно, то вполне вероятно, что в это время она выполняет задания хакера. Часто хакеры запускают программы взлома паролей (которые требуют значительных затрат ресурсов центрального процессора) на чужом компьютере, уменьшая нагрузку на собственную машину.