Re: je to prunik ?

[Jan Houstek <Jan bod Houstek zavinac mff bod cuni bod cz>]

On Tue, 10 Jan 2006, Peter Trsko - dogmaT wrote:
> Dobry den,
>
>  K $SUBJECT, urcite (podla spravania pri mazani ifconfig a pstree).
>
> On Tue, 10 Jan, 2006, prchal zavinac dup bod cz wrote:
> > Warning: Possible LKM Trojan installed
>
> Na server sa odporuca monoliticke jadro.

Nevim kdo to doporucuje, ale ja tedy rozhodne ne. Je to nesmysl a povera. 
Pokud ma byt jedinym cilem toho doporuceni nemoznost nahravanim modulu 
provadet nejake zle akce, pak vezte, ze

* i u modularniho kernelu lze zakazat nahravani modulu po natazeni vsech
  potrebnych
* i u nemodularniho kernelu lze operaci vlozeni modulu simulovat rucne
  a jinak se v tom jadre vrtat. a na namitku, ze by to snad bylo prilis
  velke sousto, lze oponovat tim, ze drtiva vetsina rootkitu (vcetne tech
  volne dostupnych kiddies) uz stejne tak prehistoricke techniky jako LKM
  nepouziva a dela to nejak chytreji (napr. pres VFS hooky)
* pokud nekdo muze neopravnene nahrat modul, tak je to pruser tak jako tak
  a uz je pozde myslet na bezpecnost, primarne je treba vubec zamezit k
  tomu, aby se nekdo dostal az tak daleko

> Co by som v rychlosti spravil ja:
>
>  - skompilovat si na inom pocitaci monoliticky kernel
>  - ak mas pristup k inemu pocitacu s tym istym (prip. podobnym)
>    systemom tak si nakopiruj ifconfig a pstree (pozor na kniznice,
>    hint: ldd) ak nie je pristup tak si ich staticky skompiluj na inom
>    pocitaci.
>  - rebootovat dany pocitac do neakeho live distra (osvedcil sa mi
>    system rescue cd [1])
>  - mountnut disk, prekopirovat kernel, nastavit v lilo/grub, spustit
>    lilo v chroote
>  - premazat ifconfig a pstree

- odzalohovat data a konfiguraci, pripadne logy
- udelat 1:1 kopii naboreneho systemu pro pozdejsi forenzi
- reinstall (pripadne vymena za jiny stroj)

-- Honza Houstek