Odo.lv » Recipes » Uzlauzta servera pazīmes

Warning: Šis apraksts jau vairāk ka gadu nav mainīts. Iespējams, ka tas ir novecojis!

Uzlauzta servera pazīmes

Principā Linux serveri ir droši, tomēr serveris ar tādiem servisiem kā:

anonīma FTP augšuplāde (var uzlikt trojas zirgus, ko kāds nejauši var palaist)
webmin caur nešifrētu HTTP (var noklausīties paroles)
reģistrēti lietotāji ar viegli uzminamiem vārdiem un parolēm

var kļūt par vieglu mērķi uzlauzējiem.

Palaimējās redzēt uzlauztu serveri ar sekojošām pazīmēm:

Nedabīgs shell uzaicinājums

Normālai sistēmai paziņojums pastāsta par sistēmu un un garantijām, piemēram:

The programs included with the Ubuntu system are free software; the exact distribution terms for each program are described in the individual files in /usr/share/doc/*/copyright.

Ubuntu comes with ABSOLUTELY NO WARRANTY, to the extent permitted by applicable law.

Uzlauztas sistēmas paziņojums, kas neiet kopā ar uptime, jo sistēma darbojas jau vairākas stundas:
```
System bootup in progress - please wait
```

Serveris ir nedabīgi noslogots

uptime komanda pēdējā ciparu grupā, rāda vidējo uzdevumu skaitu rindā pēdējās 10, 5 un 1 minūtēs. Normālai sistēma skaitļi ir 1 (t.i. uzdevumi rindā praktiski nestāv), vai arī reti pārsniedz 3:
```
uptime
23:08:57 up 1 day, 23:57,  1 user,  load average: 0.37, 0.29, 0.16
```
uzlauztai sistēmai, kurā ar plānotāju tiek palaisti daudzi fona uzdevumi uptime rāda, milzīgas rindas, kurām ir ilgākā laikā ir tendence pieaugt:
```
uptime
08:51:06 up 23:00,  2 users,  load average: 16.13, 16.12, 16.04
```

Lieki procesi

Šī varētu būt DoS bumbas sagatavošana uz zombēta datora, jo tiklīdz attiecīgo failu failu sistēmā (anonīmi!) augšuplādē, palaistie čaulas procesi to sāks pildīt.

Komandas ps -efa. rāda daudzus čaulas (shell) procesus, kas pilda komandu no neesoša faila:

ps -efa
…
ftpuser  22621 22620  6 04:42 ?        00:16:38 /bin/sh -c /home/ftpuser/.httpd/y2kupdate >/dev/null 2>&1
ftpuser  22624 22621  0 04:42 ?        00:00:00 /bin/sh -c /home/ftpuser/.httpd/y2kupdate >/dev/null 2>&1
...

Ieplānota čaulas procesu palaišana

Lietotāju plānotāja apskate atgriež:

crontab - user1 -l 
* * * * * /home/ftpuser/.httpd/y2kupdate >/dev/null 2>&1
crontab - user2 -l 
* * * * * /dev/shm/.access.log/y2kupdate >/dev/null 2>&1

Ņemiet vērā, ka šādu uzdevumu serveris cenšas palaist ikreiz, kad notiek plānotāja aptauja.

Nedabīga komandu darbība

Uzlauztajai sistēmai krakeri nomaina svarīgākās diagnostikas un pārvaldības komandu failus tā, ka tās nedarbojas paredzētajā veidā.

Nomainot lietotāja paroli ar passwd, lietotājs ar attiecīgo paroli nevar pieteikties. Nomainot paroli ar passwd uz citas sistēmas un salīdzinot /etc/shadowierakstus ar uzlauzto sistēmu, šifrētās paroles atšķiras.

Nestrādā dažādas diagnostikas un pārvaldības komandas:

chown user1:users aa Segmentation fault

netstat Segmentation fault

Nestabili strādā ps -efa, ps -aux komanda:

ps -efa
Signal 17 caught by ps (procps version 2.0.6).
Please send bug reports to <procps-bugs@redhat.com>

Faili atrodas neierastās vietās

Piemēram proftpd atrodas neierastās vietās, piemēram /etc, /home

root lietotājs saņem dīvainas vēstules

Ievadot komandu mail ir daudzas vēstules, kurās teikts, ka SMTP serveris nav spējis nosūtīt vēstules neesošiem adresātiem.

Tags: Linux Drošība Kļūda Risinājums

Created by Valdis Vītoliņš on 2008/08/09 12:05

Last modified by Anita Vucāne on 2009/09/04 16:46