Пока вы анализируете журналы, все пользователи должны сменить свои пароли доступа к серверу и ко всем его службам.
Разбирая журналы, вы должны определить:
□ какие службы использовал хакер, и в каких журналах есть записи о его активности на вашем сервере;
□ какими учетными записями смог воспользоваться взломщик;
□ какие команды он выполнял.
Вы должны узнать как можно больше, чтобы определить, было ли выполнено все необходимое для предотвращения повторной попытки взлома. Некоторые администраторы просто возобновляют работу сервера и через какое-то время расплачиваются за это.
Желательно получить максимальное количество информации о хакере, чтобы эти сведения можно было предоставить в правоохранительные органы. Не пытайтесь бороться со взломом самостоятельно, потому что у вас может не хватить сил. Обратитесь за помощью в компетентные организации, которые обладают достаточными ресурсами для выявления и пресечения атак. Но, чувствуя безнаказанность, хакер будет продолжать вторжения, и может возникнуть ситуация, когда взломщик успеет получить свое.
Приложение 1
Команды FTP-протокола
Когда вы подключаетесь к FTP-серверу с помощью клиента, работающего из командной строки (например, sftp, рассмотренный в разд. 5.3), то для работы с сервером вам понадобятся следующие команды:
□ cd путь — изменить текущую директорию на указанную. Чтобы подняться на один уровень выше, можно выполнить команду cd .., а чтобы перейти в папку ниже текущего уровня, то можно выполнить команду cd директория;
□ bye — разорвать соединение;
□ exit — выйти из системы;
□ chmod права имя файла — изменить права доступа к файлу. Например, если вы хотите установить права доступа 770 на файл passwd в текущей директории, то нужно выполнить команду chmod 770 passwd;
□ get -Р удаленный_файл локальный_файл — скачать файл. Ключ -Р является необязательным и позволяет сохранить права доступа на файл в локальной системе, сделав их такими же, как и на сервере. Эта опция не работает, если файл передается между разными системами, потому что в Windows совершенно другой метод хранения прав доступа. Параметр локальный_файл указывает на полный путь к файлу, где должен быть сохранен скаченный с сервера файл;
□ put -P локальный файл удаленный файл — закачать локальный файл на сервер;
□ help — отобразить список команд, которые разрешено выполнять;
□ pwd — показать текущую директорию;
□ rm файл — удалить файл;
□ rmdir директория — удалить директорию;
□ mkdir имя — создать директорию с указанным именем.
Вы должны учитывать, что разные FTP-серверы и FTP-клиенты могут обрабатывать команды по-разному.
Приложение 2
Полезные программы
□ hunt (http://lin.fsid.cvut.cz/~kra/index.html) — одна из популярных программ прослушивания трафика. В качестве дополнительных возможностей в нее встроены: подделка MAC-адресов через рассылку фальшивых ARP-пакетов и перехват соединения;
□ dsniff (http://monkey.org/~dugsong/dsniff/) — пакет программ для прослушивания трафика, который состоит из следующих утилит:
• dsniff — перехват паролей (основная задача). Она прослушивает трафик в ожидании пакетов авторизации, и если такой пакет найден, то программа выводит на экран заветный пароль. Поддерживается поиск пакетов авторизации всех основных протоколов, таких как Telnet, FTP, POP и т.д.;
• arpspoof — позволяет отправлять ARP-ответы, с помощью которых можно обмануть компьютеры жертвы, сказав, что определенный IP- адрес принадлежит вам;
• dnsspoof — позволяет отправлять поддельные DNS-ответы. Если жертва запрашивает IP-адрес сервера, вы можете подменить ответ DNS-сервера, чтобы вместо него клиент подключился к вам, и вы смогли перехватить на себя трафик;
• filesnaf — прослушивает трафик в ожидании передачи файлов по протоколу NFS;
• mailsnaf — прослушивает сеть в ожидании E-mail-сообщений по протоколам POP и SMTP;
• msgsnaf — отслеживает сообщения интернет-пейджеров и чатов, таких как ICQ и IRC;
• macof — позволяет наводнить сеть пакетами, включающими сгенерированные MAC-адреса. Если коммутатор не справляется с нагрузкой по определению пути, то он начинает работать как простой концентратор, и вы сможете прослушивать трафик всех компьютеров сети;
• tcpkill — может завершить чужое соединение с помощью отправки пакета с установленным флагом RST;
• webspy — позволяет прослушивать соединения с Web-серверами и сохраняет список сайтов, которые посещал определенный пользователь;
• webmint — эмулирует Web-сервер и становится посредником. Технология атаки этим методом рассмотрена в разд. 7.9;
□ ettercap (http://ettercap.sourceforge.net) — на мой взгляд, это самая удобная программа для прослушивания трафика. Основное ее назначение — поиск паролей в пакетах всех популярных протоколов. Администраторы оценят возможность определения наличия в сети других прослушивающих программ;
□ lsat (http://usat.sourceforge.net/) — программа проверки конфигурации системы (рассматривается в разд. 12.3). Анализирует настройки сервера, отображая потенциальные ошибки, и в некоторых случаях может дать рекомендации по устранению недочетов;
□ bastille (http://bastille-linux.sourceforge.net/) — выявление потенциальных ошибок в конфигурации сервера. Программа может автоматически исправлять ошибки и недочеты в конфигурации;
□ Klaxon (http://www.eng.auburn.edu/users/doug/second.html) — программа позволяет определить атаки на вашу систему (рассматривается в разд. 12.4);
□ PortSentry (http://sourceforge.net/projects/sentrytools) — следит за портами и отслеживает попытки их сканирования (рассматривается в разд. 12.4). Позволяет автоматически сконфигурировать сетевой экран для запрета соединения с компьютером, с которого происходило сканирование;
□ Swatch (http://sourceforge.net/project/swatch) — удобная программа анализа по расписанию системных журналов (рассматривается в разд. 12.6);
□ Logsurfer (sourceforge.net/projects/logsurfer) — одна из немногих программ, позволяющих анализировать журнал безопасности в динамике (рассматривается в разд. 12.6);
□ John the Ripper (http://www.openwall.com/john/) — самая знаменитая программа подбора паролей;
□ pop-before-smtp (http://popsmtp.sourceforge.net) — сервис, который разрешает отсылку писем только в том случае, если пользователь сначала проверил почту по POP3-протоколу;
□ Nmap (www.insecure.org/nmap/) — сканер портов, который обладает большим количеством возможностей.
Приложение 3
Интернет-ресурсы
□ http://www.redhat.com — сайт компании Red Hat, где можно скачать последние версии программ, ядра, патчи и прочитать о перспективах развития ОС;
□ http://www.kernel.org — сайт, посвященный ядрам ОС Linux. Здесь же можно скачать последнюю версию ядра;
□ http://www.securityfocus.com — сайт, посвященный безопасности, содержит множество описаний различных уязвимостей и методов исправления ошибок;
□ http://www.cert.org — еще один сайт, посвященный информационной безопасности;
□ http://www.securitylab.ru — русскоязычный сайт по информационной безопасности;
□ http://www.xakep.ru — сайт российского журнала "Хакер";
□ http://www.insecure.org — множество полезной информации по безопасности, статьи и программы;
□ http://www.novell.com/de-de/linux/suse/ — сайт SUSE, один из самых простых и удобных дистрибутивов Linux;
□ http://www.linspire.com/ — разработчики Linspire пытаются создать ОС, в которой могли бы выполняться программы Windows на ядре Linux;
□ http://www.debian.org — официальный дистрибутив Debian;
□ http://www.slackware.com — дистрибутив SlackWare.
Источники информации
□ Фленов М.Е. Программирование на С++ глазами хакера.— СПб.: БХВ-Петербург, 2004.
□ Фленов М.Е. Программирование в Delphi глазами хакера. — СПб.: БХВ-Петербург, 2003.
□ Фленов М.Е. Компьютер глазами хакера. — СПб.: БХВ-Петербург, 2005.
□ http://www.vr_online.ru — сайт для программистов и администраторов.
□ www.xakep.ru — сайт журнала хакер.