Несколько вопросов по безопастности 0

Moris
Ребята, у меня есть несколько вопросов по безопастности:

1. Как в линуксе можно обнаружить трояна. Проводить какое-то сканирование или как? Если да то чем?

Проверь свои порты nmap’ом. Прогони

lsof -i4 -i6

от рута, посмотри, какие соединения активны в данный момент. Хороший троян не ловится ps’ом, но хороших троянов не так уж и много… :-)

2. Как можно оборвать/отключить подозрительное соединение? Какой командой?

Убей процесс, который им (соединением) пользуется. Закрой порт или запрети IP iptables’ами.

… и последний вопрос…

3. Как можно «вручную» закрыть какой-то определенный порт?

iptables’ами. -j DROP и все дела. :-) Только надо ли?

Good Luck,

UT

А еще полезно было бы взять эти самые lsof, ps, nmap, netstat свежескомпилированые, или с другого компа.

propeller
А еще полезно было бы взять эти самые lsof, ps, nmap, netstat свежескомпилированые, или с другого компа.

скомпилированные статично с библиотеками.

потому как существует вероятность root-kit, таким образом содержание некоторых системных библиотек/программ может быть изменено злоумышленником.

как вариант усложнения жизни оным — в линухе есть chattr, поиграв которой и сныкав в дальний угол — можно сильно озадачить крякера. ;)

Что-то я не понял, а чем поможет chattr? Это разве что заранее надо побеспокоиться. а после взлома какой смысел?

Это разве что заранее надо побеспокоиться. а после взлома какой смысел?

Ага, надо «до момента» озаботиться..

Тут довольно хороший документ в соседней теме привели, почитай, «как» оно может помочь. Кстати, man chattr несколько более информативнее.

Юзай samhain, chkrootkit. Они простые до безобразия, без проблем компилируются.

Как можно "вручную" закрыть какой-то определенный порт?

Cмотрим, к какому порту какой процесс привязан(имя процесса соответствует имени проги):

#netstat -pantu

Увидишь pid/имя процесса.

Далее kill -9 pid_процесса или killall имя_процесса