Note, that this recipe is not updated long time and could be outdated!
Got it.

Uzlauzta servera pazīmes

Principā Linux serveri ir droši, tomēr serveris ar tādiem servisiem kā:

  • anonīma FTP augšuplāde (var uzlikt trojas zirgus, ko kāds nejauši var palaist)
  • webmin caur nešifrētu HTTP (var noklausīties paroles)
  • reģistrēti lietotāji ar viegli uzminamiem vārdiem un parolēm
    var kļūt par vieglu mērķi uzlauzējiem.

Palaimējās redzēt uzlauztu serveri ar sekojošām pazīmēm

Nedabīgs shell uzaicinājums

  • Normālai sistēmai paziņojums pastāsta par sistēmu un un garantijām, piemēram:

    The programs included with the Ubuntu system are free software;
    the exact distribution terms for each program are described in the
    individual files in /usr/share/doc/**/copyright.

    Ubuntu comes with ABSOLUTELY NO WARRANTY, to the extent permitted by
    applicable law.
  • Uzlauztas sistēmas paziņojums, kas neiet kopā ar uptime, jo sistēma darbojas jau vairākas stundas:

    System bootup in progress - please wait

Serveris ir nedabīgi noslogots

  • uptime komanda pēdējā ciparu grupā, rāda vidējo uzdevumu skaitu rindā pēdējās 10, 5 un 1 minūtēs. Normālai sistēma skaitļi ir 1 (t.i. uzdevumi rindā praktiski nestāv), vai arī reti pārsniedz 3:

    uptime
    23:08:57 up 1 day, 23:57,  1 user,  load average: 0.37, 0.29, 0.16
  • uzlauztai sistēmai, kurā ar plānotāju tiek palaisti daudzi fona uzdevumi uptime rāda, milzīgas rindas, kurām ir ilgākā laikā ir tendence pieaugt:

    uptime
    08:51:06 up 23:00,  2 users,  load average: 16.13, 16.12, 16.04

Lieki procesi

  • Šī varētu būt DoS bumbas sagatavošana uz zombēta datora, jo tiklīdz attiecīgo failu failu sistēmā (anonīmi!) augšuplādē, palaistie čaulas procesi to sāks pildīt.
  • Komandas ps -efa. rāda daudzus čaulas (shell) procesus, kas pilda komandu no neesoša faila:

    ps -efa
    ...
    ftpuser  22621 22620  6 04:42 ?        00:16:38 /bin/sh -c /home/ftpuser/.httpd/y2kupdate >/dev/null 2>&1
    ftpuser  22624 22621  0 04:42 ?        00:00:00 /bin/sh -c /home/ftpuser/.httpd/y2kupdate >/dev/null 2>&1
    ...

Ieplānota čaulas procesu palaišana

  • Lietotāju plānotāja apskate atgriež:

    crontab - user1 -l
    * * * * * /home/ftpuser/.httpd/y2kupdate >/dev/null 2>&1
    crontab - user2 -l
    * * * * * /dev/shm/.access.log/y2kupdate >/dev/null 2>&1
    Ņemiet vērā, ka šādu uzdevumu serveris cenšas palaist ikreiz, kad notiek plānotāja aptauja.

Nedabīga komandu darbība

Uzlauztajai sistēmai "krakeri" nomaina svarīgākās diagnostikas un pārvaldības komandu failus tā, ka tās nedarbojas paredzētajā veidā.

  • Nomainot lietotāja paroli ar passwd, lietotājs ar attiecīgo paroli nevar pieteikties. Nomainot paroli ar passwd uz citas sistēmas un salīdzinot /etc/shadowierakstus ar uzlauzto sistēmu, šifrētās paroles atšķiras.
  • Nestrādā dažādas diagnostikas un pārvaldības komandas:

    chown user1:users aa
    Segmentation fault

    netstat
    Segmentation fault
  • Nestabili strādā ps -efa, ps -aux komanda:

    ps -efa
    Signal 17 caught by ps (procps version 2.0.6).
    Please send bug reports to <procps-bugs@redhat.com>

Faili atrodas neierastās vietās

  • Piemēram proftpd atrodas neierastās vietās, piemēram /etc, /home

root lietotājs saņem dīvainas vēstules

Ievadot komandu mail ir daudzas vēstules, kurās teikts, ka SMTP serveris nav spējis nosūtīt vēstules neesošiem adresātiem.

 

Created by Valdis Vītoliņš on 2008-08-09 09:05
Last modified by Valdis Vītoliņš on 2013-09-09 13:49
 
Xwiki Powered
Creative Commons Attribution 3.0 Unported License