Авторы: © The Answer Gang
Перевод: © Владимир Меренков.

  От Ted Mims

Ответил Dan Wilder

 Надеюсь, что Вы сможете мне помочь. Я работаю под Linux 6.0 и несколько недель назад моя система была взломана: прежде всего, было установлено несколько защищенных irc каналов и изменена настройка dns для потребностей хакера (хотя в точности я не уверен). Так или иначе, он сделал так, чтобы мой securetty файл игнорировался. Я безуспешно пытаюсь закрыть доступ root-у через telnet. Файл securetty имеет правильный формат и разрешения, и pam_securetty.so не закомментирован в файле /etc/pam.d/login. Есть ли какие-нибудь предложения? Все, что я хочу сделать - заново ограничить прямой доступ root-а. Был бы рад любой информации по этомувопросу.
Ted H. Mims

[Dan] В общем, нужно сделать вот что: переустановить систему, установить необходимый уровень безопасности, скопировать на нее старые данные.

К сожалению, как только система скомпрометирована, Вы не можете доверять составляющим этой системы. Квалифицированный взломщик, хотя это можно сделать и без особых навыкоа, но вооруженный на сегодняшний день скриптом kiddees (?), заменит системные исполняемые файлы типа /bin/login, /bin/ls, /bin/ps, и т.д. и т.п. Пытаясь восстановить работающую систему, Вы оказываетесь в королевстве кривых зеркал. Особенно, если Вы делаете попытку этого восстановления, в то время как система соединена с сетью. Я знаю очень немного сисадминов, кто взялся бы за такую проблему, еще меньше, кто был бы уверен в успехе, и почти никого, кто делал бы это кроме как на спор или из спортивного интереса. Я был бы последним человеком, предлагая Вам сделать это, основываясь только на этих нескольких примерах.

Разумный путь - новая установка на новом жестком диске. Делайте это на системе, не подключенной к внешней сети.

Сделайте апгрейд named.http://www.isc.org/products/BINDИспользуйте bind-8.2.2 patchlevel 7 для простого обновления  большинства дистрибутивов с версией 6.0. Или посмотрите, есть ли апгрейд на ftp сайте с Вашим дистрибутивом. В старших версиях bind было локализовано 8 багов, включая тот, который позволяет удаленное использование и обеспечивает атакующего тем уровнем привилегий, с которым запущен сам named.

Запретите все службы, в которых система не нуждается, исключая их из файла конфигурации /etc/inetd.conf или эквивалентного xinetd.

Установите безопасные пароли для всех акаунтов.

Теперь возьмите жесткий диск со старой системы и примонтируйте его, например к точке /mnt. Скопируйте ценные данные от старого жесткого диска на новый. Тщательно проверьте скопированные файлы конфигурации.

Запретите удаленный доступ к системе по протоколу telnet, так как передача пароля в виде простого текста не очень хорошая идея в наш век снифферов.

Взамен telnet-а подумайте об установке ssh или openssh, если Вам все же нужен удаленный доступ, или если в Вашей локалке хостов больше, чем просто горстка, или в ней есть юзеры, не внушающие особого доверия. Знайте, что даже ssh - не является на 100% непроницаемым.

<отступление> Указание номера версии "6.0" мало что значит без указания дистрибутива, например "Red Hat" или "SuSE". Каждый дистрибьютор Linux, следует своей системе нумерации версий, и говорить о соответствии версий можно только с грубым приближением. </отступление> .

Мне просто нужно было просто написать кому-нибудь об этом. Я сам в одиночку вычислил неисправность. В любом случае спасибо. Суть была в том, что он обошел pam и отослал его обратно файлу login.defs, в котором, разумеется, не было директивы CONSOLE.

Ted H. Mims