Иллюстрированный самоучитель по Secure Web


"Потайные ходы" - часть 20


dhcpd 183 root lOu IPv4 Oxc5bc2fOO OtO ICMP *:*

sshd 195 root 3u IPv4 Oxc58d9d80 OtO TCP *:ssh (LISTEN)

sshd 1062 root 4u IPv4 OxcSSdaSCO OtO TCP crush:ssh-

>192. 168.1.101:2420 (ESTABLISHED)

Xaccel 1165 root 3u IPv4 Oxc58dad80 OtO TCP *:6000 (LISTEN)

gnome-ses 1166 root 3u IPv4 Oxc58dab60 OtO TCP *:1043 (LISTEN)

panel 1201 root 5u IPv4 Oxc58da940 OtO TCP *:1046 (LISTEN)

gnome-nam 1213 root 4u IPv4 Oxc58da2eO OtO TCP *:1048 (LISTEN)

genj.itil_ 1220 root 4u IPv4 Oxc58dbd80 OtO TCP *:1051(LISTEN)

sshd " 1245 root 4u IPv4 Oxc58da720 OtOTCP crush:ssh-

>192.163.I.101:2642 (ESTABLISHED)

[crush] sockstat

USER COMMAND PID FD PROTO LOCAL ADDRESS FOREIGN ADDRESS

root sshd 1245 4 tcp4 10.1.1.1.22 192.168.1.101.2642

root genjjtil 1220 4 tcp4 *.1051 *.*

root gnome-na 1213 4 tcp4 *.1048 *.*

root panel 1201 5 tcp4 *.1046 *.*

root gnome-se 1166 3 tcp4 *.1043 *.*

root Xaccel 1165 3 tcp4 *.6000 *.*

root sshd 1062 4 tcp4 10.1.1.1.22 192.168.1.101.2420

root sshd 195 3 tcp4 *.22 *.*

root dhcpd 183 7 udp4 *.67 *.+

root syslogd 111 4 udp4 *.514 *.*

Конечно же, поскольку большинство из рассмотренных выше программ может быть переименовано, без инвентаризации системы и приложений как при их начальной установке, так и при последующих обновлениях, "потайной ход" будет трудно обнаружить (нам кажется, что об этом говорилось уже достаточно).

Отслеживание изменений файловой системы


Для перегруженных работой администраторов сама мысль о регулярном обновлении полного списка файлов и каталогов может показаться безумной, поскольку это требует намного больших затрат, чем все предыдущие рекомендации. В то же время, если состояние системы изменяется не очень часто, такой учет является самым надежным методом выявления следов злоумышленников.

В системе Novell для отслеживания изменений в размерах файлов, времени последнего обращения и других атрибутов можно воспользоваться командой ndir. В системе UNIX можно написать сценарий, содержащий команду Is -la, который будет записывать имя каждого файла и его размер. В Windows при использовании команды dir выводится время последнего изменения, время последнего обращения к файлу, а также ею размер. Для ведения каталога файлов без изменения времени доступа к ним можно порекомендовать утилиты a find, hfind и sfind компании NTObjectives. Помимо прочих достоинств, эти программы позволяют идентифицировать скрытые файлы, а также выявлять потоки данных внутри файлов. Для аудита файлов в системах NT/2000 можно использовать также встроенные возможности файловой системы NTFS. Просто щелкните правой кнопкой мыши на нужном файле или каталоге, выберите команду Security, щелкните на кнопке Auditing, и установите требуемые параметры для каждого пользователя или группы.



Начало  Назад  Вперед



Книжный магазин