Az elmúlt napok eseményeinek fényében kijelenthetjük, hogy vagy egyre több támadást intéznek nyílt forrású rendszerek ellen, vagy csak megnőtt a sikeres betörések bejelentésének száma.
Így vagy úgy, érdemes több gondot fordítani a rendszereink biztonságára. Természetesen első a prevenció, de az ördög nem alszik! Hasznos lehet néha olyan eszközöket is bevetni, amelyek már a baj megtörténte után segítenek a meglapuló rosszindulatúságokat felfedezni.
Az elmúlt napokban sikeresen törtek be a Debian Projekt szervereire (cikk), a Gentoo rsync szerverére (cikk) és a savannah.gnu.org szerverére (bejelentés). A három támadásban felfedezhető egy közös momentum: mindegyik esetben egy ún. ``rootkit''-et (korábbi cikk) telepítettek az áldozat gépre. Ebből két esetben a ``SucKIT'' (GPL-es) névre hallgató rootkit-et telepítették (a Gentoo-nál is rootkit-et telepítettek, de a típusát nem ismeretették).
Tegyük fel, hogy valamilyen módon feltörték a gépünket, és azon root jogokat szereztek. A támadó szeret visszajárni a feltört gépre, ezért azon egy hátsó kaput (rootkit) helyezett el. A gépünk néha furcsán viselkedik, gyanakszunk arra, hogy esetleg feltörték. Vajon hogyan ellenőrizhetjük le, hogy nincs-e egy módosított ``ls'', ``ps'' vagy egyéb bináris a gépünkön, amely ``gyári'' funkciója mellett valami más káros dolgot is csinál?
Több dologot is tehetünk. Az egyik, hogy a rendszer telepítése után a még szűz gépre valamilyen ``checksum'' készítő- és ellenőrző programot telepítünk. Ezzel rögzítjük a még 100%-ban biztosan nem komprommitált szerver állapotát (binársiok ellenőrzőösszegét), majd a későbbiekben a kezdeti értékeket rendszeresen összehasonlítjuk a jelenlegi értékekkel (így dolgozik pl. a tripwire nevű program is).
De mi van, ha nem voltunk elég okosak, és nem telepítettünk tripwire-t, vagy hasonló programot? Akkor marad az ``eső után köpönyeg'' megoldás, azaz ellenőrizzük a rendszert és fohászkodjunk, hogy nem törték meg.
Mivel ellenőrizzünk? Például a chkrootkit nevű programmal. A chkrootkit egy olyan program, amely átnyálazza a rendszerünket, módosított rootkit binárisokat, és azok létére utaló jeleket keres (pl. a SucKIT-et is).
Miket ellenőriz? Mindent természetesen ez sem tud, de az alábbi gyakran támadott és használt stuffokat ellenőrzi:
aliens asp bindshell lkm rexedcs sniffer wted w55808 scalper slapper z2 amd basename biff chfn chsh cron date du dirname echo egrep env find fingerd gpm grep hdparm su ifconfig inetd inetdconf init identd killall ldsopreload login ls lsof mail mingetty netstat named passwd pidof pop2 pop3 ps pstree rpcinfo rlogind rshd slogin sendmail sshd syslogd tar tcpd tcpdump top telnetd timed traceroute vdir w write
Mely rootkit-ek ismeri fel?
01. lrk3, lrk4, lrk5, lrk6 (and variants); |
02. Solaris rootkit; |
03. FreeBSD rootkit; |
04. t0rn (and variants); |
05. Ambient's Rootkit (ARK); |
06. Ramen Worm; |
07. rh[67]-shaper; |
08. RSHA; |
09. Romanian rootkit; |
10. RK17; |
11. Lion Worm; |
12. Adore Worm; |
13. LPD Worm; |