Кулхацкеры: Несколько наиболее очевидных советов

Автор: spions on 7 июля 2014

kinopoisk.ru

1. Удостоверьтесь в отсутствии IDS на используемом сервера, а также соберите информацию о наличии в компании DLP/CMF-систем.

2. Изучите версию ядра ОС и, соответственно, возможные способы эксплуатации подверженных эксплоитам её систем.

3. Изучите конфигурации bash, syslog, pam, sshd, snmpd, crond, mta чтобы лучше понять как устроена система логирования действий пользователей, начиная от момента аутентификации на сервере.

4. Изучите список работающих процессов. Особое внимание уделите демонам распространения конфигураций приложений и ОС, таким как puppet, chef, ansible, salt, выполняемым ими действиям. Не забудьте обратить вниманием на конфигурации демонов, которые могут страховать нестабильную работу других приложений, например, monit или ps-watcher.

5. Изучите где хранятся базы данных системных пользователей (NIS+/LDAP/локально) и как базы доставляются на сервера. Изучите историю логонов на сервер других пользователей и автоматизированных систем, а при возможности, и их историю команд.

6. Обратите внимание на IP-адресацию сервера, это поможет предварительно понять круг возможностей, особенно в случае когда Вам требуется сервер как часть ботнета для, например, DDoS, а сервер имеет серый IP и где-то NATится.

7. Никогда не пытайтесь без разведки устанавливать софт в системные директории, особенно, если вы уже получили права суперпользователя. Также никогда не удаляйте разом все системные логи в /var/log, гораздо более правильно удалить компрометирующие записи в них.

8. Проверьте с помощью системных утилит, например, rpm —verify —all, файлы ОС. Это даст понимание какие файлы отличаются от базовых в пакетах (см. #2312614). Вполне вероятно, что именно их можно будет модифицировать в процессе работы и это не вызовет особых подозрений у людей, эксплуатирующих сервер.

9. При получении каких-либо данных из интернета (установочные пакеты, скрипты, etc) используйте туннелирование через разные доверенные хосты. Не запрашивайте данные с сервера напрямую.

10. Всегда очищайте свою историю команд.

Помните, если Вы пойманы — Вы проиграли и они уже всё знают.

(с) freefd

Категория: Администрирование
«
»
Вы можете оставить комментарий ниже.