Иллюстрированный самоучитель по Secure Web


"Потайные ходы" - часть 22


D:\Toolbox>md5sum d:\test.txt>d:\test.md5

D:\Toolbox>cat d:\test.md5

efd3907b04b037774d831596f2clbl4a d:\Xtest.txt

D:\Toolbox>md5sum --check d:\test.md5

d:\Xtest.txt: OK

К сожалению, программа MDSsum одновременно обрабатывает только один файл (конечно, написав сценарий, это можно исправить). В число более эффективных средств выявления вторжений в файловую систему входит старая программа Tripwire, которую можно найти по адресу http://www.tripwire.com.

Следует упомянуть и несколько других важных утилит, предназначенных для проверки содержимого двоичных файлов. К ним относится известная программа strings, которая работает как в системе UNIX, так и в Windows, BinText Робина Кайра (Robin Keir) для Windowsи UltraEdit32 для Windows .

И наконец, при инвентаризации файловой системы очевидным шагом является поиск легко узнаваемых исполняемых файлов, обеспечивающих "потайной ход", а также используемых ими библиотек. Поскольку большинство из этих инструментов может быть переименовано, такая процедура обычно не приносит пользы, но устранение очевидных изъянов — это уже половина успеха в битве за обеспечение безопасности сети. В табл. 14.2 приведен список наиболее важных файлов, при обнаружении которых нужно принимать меры, описанные в этой главе.

Таблица 1 4.2. Используемые пo умолчанию имена исполняемых файлов утилит удаленногоуправления

"Потайной ход"

Имя файла(ов)

Возможность переименовать

remote (NT)

remote . ехе

Есть

netcat (UNIX и NT)

пс И пс . ехе

Есть

rinetd

rinetd, rinetd.exe

Есть

Утилиты туннелирования пакетов 1СМР и UDP

loki И lokid

Есть

Back Orifice

[пробел] .ехе, boserve.exe, boconfig.exe

Есть

Back Orifice 2000

bo2k.exe, bo2kcfg.exe, bo2kgui.exe, UMGR32 . EXE, bo_peep. dll, bo3des . dll

Есть

NetBus

patch . exe, NBSvr . exe, KeyHook . dll

Есть

Virtual Network Computing for Windows (WinVNC)

WinVNC . EXE, VNCHooks . DLL, И OMNITHKEAD_RT.DLL

Нет

Linux Rootkit (LRK)

Irk

Есть

NT/2000 Rootkit

deploy . exe и _root_ . sys

Нет в сборке 0.31 а

<


Начало  Назад  Вперед



Книжный магазин