Иллюстрированный самоучитель по Secure Web


Набор Rootkit — полный взлом системы - часть 2


В альфа-версии средство перенаправления исполняемых файлов позволяет выявлять выполнение файлов с именами, начинающимися с _root_, и перенаправлять их результаты файлу С: \calc.exe (жестко заданный режим, не позволяющий взломщику немедленно получить долгожданную информацию, однако наглядно демонстрирующий его потенциальную злонамеренность).

Грег также распространяет консоль удаленного управления RogueX из набора "отмычек" с изящным интерфейсом. Она находится на стадии разработки и имеет ограниченные функциональные возможности (в частности, позволяет инициировать сканирование портов удаленного узла, на котором установлен набор "отмычек").

Контрмеры: защита от набора "отмычек"


Если вы не можете доверять даже команде dir, значит, пришло время признать себя побежденным: создайте резервную копию важных данных (кроме двоичных файлов!), удалите все программное обеспечение и переустановите его с проверенных носителей. На полагайтесь на резервные копии, поскольку неизвестно, в какой момент взломщик получил контроль над системой, — вы можете восстановить тех же самых "троянских коней".

Сейчас важно подчеркнуть одно из золотых правил обеспечения безопасности и восстановления после сбоев: известные состояния (known states) и повторяемость (repeatability). Производственные системы зачастую должны быть быстро переустановлены, так что хорошо документированная и достаточно автоматизированная процедура установки позволит сэкономить много времени. Наличие проверенных носителей, готовых для выполнения процедуры восстановления, также достаточно важно. Если под рукой имеется компакт-диск с полностью сконфигурированным образом Web-сервера, то выигрыш во времени окажется еще более значительным. Другим хорошим приемом является документирование процесса настройки производственного режима эксплуатации, а не промежуточного режима, поскольку в процессе построения системы или ее обслуживания могут появиться изъяны в системе защиты (появления новых совместно используемых ресурсов и т.д.). Убедитесь, что в вашем распоряжении имеется контрольный список или автоматизированный сценарий возврата в производственный режим.



Начало  Назад  Вперед