Re: lug-bg: нещо интерес но

[Peter Pentchev <roam@xxxxxxxxxxx>]

On Wed, Feb 23, 2005 at 04:39:08PM +0200, Svetulcho wrote:
> Irena Nikolova wrote:
> 
> >>D. Dilev wrote:
> >>
> >>sh: line 1: /awstats.mydomain.com.conf: No such file or directory
> >>
> >>
> >>   
> >>
> >
> >каквото и да гледаш и да проверяваш имай в предвид,че не можеш да
> >имаш доверие на това,което ти показват нито netstat нито на
> >ps,ls,w,top,(както и на логовете-last примерно) - или те са подменени
> >или имаш заредени модули в ядрото,които да вършат същата работа-да
> >крият процесите,файловете и активността на даден user...най-добре,за
> >да си сигурен,че машината си е само твоя -преинсталирай...

Така... моите коментари по-надолу май се получиха малко по-дълги и
малко по-резки, отколкото ги мислех първоначално.  Все пак ще ги пусна -
смятам, че е оправдано.

> че машината си е само твоя _*-преинсталирай*_...
> Ха, че това да не е WINDOWS че да го преинсталираш току така като ти скимне 
> ???

Хмм... за теб не знам, но аз лично виждам известна разлика между "като
ти скимне" и "в момент, в който не знаеш:
- точно на каква информация от машината можеш да се довериш;
- кой какво е променил в работата на различните услуги на машината;
- дали някой все пак не е решил да направи това, от което много хора се
  страхуват в последните 10-15 години: новият вид information warfare,
  при който, след като се докопа до някоя машина, не я "затрива", не я
  "deface-ва", не прави НИЩО, което да покаже явно на целия свят, че
  тази машина вече е поразена, а тихичко и спокойно започва да подменя
  дребни неща в информацията, която излиза от нея - тук някое име или
  линк на уеб-страница, там някой запис в някоя база данни...  Докато
  някой разбере, че с данните на тази машина нещо не е наред, може много
  хора да са били подведени от информацията, която "вредителят" е подал
  вместо истинската...
- кой за какво всъщност използва машината ти, така че след това следите
  да водят до *теб*;
- как се отразява това на работата и живота на другите хора, които
  ползват машината или някоя от услугите й с твое знание - приятели,
  клиенти, ...;
- как се отразява това на външни хора, които ползват услугите на
  машината ти - уебсървър, мейл, някакви видове chat или community
  networks...;
- как се отразява това на хора, които заплащат ползването на услуги
  върху тази машина, ако има такива;
- как се отразява това на *теб*, при положение, че най-вероятно плащаш
  някои неща, свързани с тази машина - colocation, мрежови трафик и
  т.н.; някои вируси/worms могат да бъдат доста лакоми за трафик...

Та както казах, аз лично виждам известна разлика между това и "като ти
скимне" :)

> При това не мисля, че времето за преинсталиране ще е кой знае колко 
> по-малко от колкото да проследиш кои и от къде, и как се е докопал до 
> машината ти. Освен това според мен е важно да разбереш и как, Щото като 
> преинсталираш нищо не пречи след месец пак да преинсталираш по същата 
> причина.

Това май горе-долу стана ясно - awstats.  Мисля, че достатъчно линкове
дадохме.  Или поне - много, много, много вероятно е да е било това.

> По-добре си поиграй и разучи как да откриеш чуждите неща в 
> системата и да се защитиш занапред.

Но САМО СЛЕД КАТО машината е била извадена от мрежата и нормалните
услуги, които вървят върху нея, са СПРЕНИ, или поне е спрян достъпът
от/до тях от външния свят!  В противен случай... виж по-горе.

А когато направиш това - когато извадиш машината от мрежата, сложиш я в
изолиран сегмент или просто я пуснеш без мрежови кабел, и започнеш да си
играеш с нея, се случва какво?  Услугите, които тя е предоставяла
досега, изведнъж спират.  Ако за някои от тези услуги някой ти е плащал,
ти *трябва* да намериш начин да ги пуснеш пак - но НЕ върху същата
машина в това й НЕИЗВЕСТНО състояние!  Какво ще направиш в такъв случай?
Ще намериш друга машина, която може да поеме тези услуги, и ще
прехвърлиш *информацията* - *данните* и *само* *данните* от поразената
машина върху новата.

Та така... хайде стига толкоз от мен, но все пак ми се иска да натъртя
още веднъж - заради всичките точки горе, дори някои от тях да не се
отнасят до конкретния случай, дори за някои от тях да ви се струва, че
"никой няма да си направи труда" (famous last words), все пак ТРЯБВА
поразената машина да бъде ИЗВАДЕНА от мрежата!  Преинсталацията може да
дойде и после, след forensics, но собственикът на машина *не може* да си
позволи да я остави да работи в това състояние.

Поздрави,
Петър

-- 
Peter Pentchev	roam@xxxxxxxxxxx    roam@xxxxxxxx    roam@xxxxxxxxxxx
PGP key:	http://people.FreeBSD.org/~roam/roam.key.asc
Key fingerprint	FDBA FD79 C26F 3C51 C95E  DF9E ED18 B68D 1619 4553
If wishes were fishes, the antecedent of this conditional would be true.

Attachment: pgpyl0UUE2ztr.pgp
Description: PGP signature