Иллюстрированный самоучитель по Secure Web
Полученные результаты лучше всего просматривать
Is -alRu > /floppy/timestamp_access.txt
Is -alRc > /floppy/timestamp_modification.txt
Is -alR > /floppy/timestamp_creation.txt
Полученные результаты лучше всего просматривать автономно, без обращения к "подозрительной" системе. В большинстве случаев вы столкнетесь с "набором отмычек", который, возможно, был установлен с параметрами, заданными по умолчанию. В зависимости от установленного "набора отмычек" вы можете увидеть множество входящих в их состав утилит, сообщений о программах-анализаторах, содержащихся в файлах журналов, и т.д. Это позволит предположить, что вы имеет дело с "набором отмычек", не использующимся для модификации ядра. Все доказательства таких изменений основываются на получении надежных результатов при выполнении приведенных выше команд. При выполнении исследований в системе Linux воспользуйтесь безопасным загрузочным носителем, например с комплектом Trinux (http://www.trinux.org). Это позволит получить достаточно много информации, чтобы попытаться определить, была ли ваша система инфицирована "набором отмычек". Имея под рукой все собранные данные, обратитесь к следующим ресурсам, чтобы точно определить, что же все-таки изменилось в системе и каким образом был выполнен взлом. Очень важно собрать данные о том, какие именно команды запускались и какие при этом результаты были получены.
Кроме того, очень важно иметь под рукой и хороший план комплексных исследований еще до того момента, как произошло вторжение. He становитесь одним из многих администраторов, которые после обнаружения подобных прецедентов сразу же обращаются к властным структурам. Между этими двумя событиями имеется еще много промежуточных шагов.
