«Если нечто выглядит как утка, плавает как утка и крякает как утка, то это, наверное, и есть утка»
А что у нас?
Если это названо «Skype.exe», но неизвестно из какой директории запущено (директория ли самого легитимного скайпа), неизвестно имеет ли цифровую подпись и неизвестно внедрён ли в этот процесс злонамеренный код (например, посредством подгрузки DLL, как вариант DLL Hijacking или иным способом) — то с чего Вы взяли, что это Скайп следит за Вами?
На днях начальница пригнала своего сынишку поучиться уму-разуму
Судя по дальнейшим событиям, этот сынишка — и есть часть бот-сети. Надо бы у знакомого ValdikSS узнать не приходил ли к ним такой же экземпляр.
Ведь с детства учат: после школы-детсада детишек в песочнице держать, рядом с остальными экземплярами. Чтоб не могли зловредный код исполнить. Ramen Надеюсь, Вы полностью выкусили зловредный код из сознания этого вредоносного малыша? Объяснив азы компьютерной безопасности
После этого в логах наступило умиротворение и спокойствие.
Т.е. человек хотел добиться уменьшения записи в логах, чтоб глаза не отвелкало от действительно важных вещей. И, в какой-то степени, малой кровью ему это удалось. Он нигде не пишет, что этот мини скрипт делает его unhackable на 100%
Решение интересное, но зависит от конкретной ситуации. К примеру, по поводу:
И с какого перепугу ко мне стучаться ssh брутфорсеры из Штатов?
Я по роду деятельности могу находиться в разных уголках света. И в любом из них мне может потребоваться безопасный доступ к своему серверу по SSH. Этот вопрос решается применением port knocking, срабатывание которого добавляет правило в iptables на разрешение доступа с этого IP. А в 12 ночи карета превращается в тыкву правило удаляется. Дабы не загромождать список правил всеми местами где побывал. да и вообще, для пущей безопасности.
Хотя, я так полагаю, мой подход вполне можно подружить с Вашим, и сосуществовать они должны оба мирно
Т.о. файл сначала удаляется, потом создаётся новый с таким же именем и уж после этого затирается. Значит, чисто теоретически первоначально существовавший до работы cron .bash_history можно восстановить
2. auth.log — затирается
*/1 * * * * cd /var/log > auth.log
а вот auth.log.1- не затриается. там может быть что-то полезное, хоть и не особо свежее
3. нет удаления syslog.log, в котором можно найти информацию, например, о том как давно зловредный cron скрипт выполнялся
Какие логи проверялись? Уверены, что все? линукс много куда пришет при логине
.bash_history пустой
Что у него со временем модификации? Могли обнулить. Хотя, и дату отмотать тоже. Но если обнуляли неграмотно (удаление файла и создание нового пустого) — можно попробовать восстановить
— Славик, я чё-то очкую взламывать телефон этого иностранца. А вдруг он эксперт по информационной безопасности?
— Да ты успокойся. Я тыщу раз так делал!
Через минуту подходят с ножом к «эксперту»:
— Дядя, дай телефончик погонять
Ну, а дальше… ставят подозрительные APK-пакеты и т.д. и возвращают
Ну, раз специалисты говорят что нужно менять — наверное путь есть.
Не возьмусь отвечать за все устройства, но у NAS Netgear такая опция в веб-интерфейсе предусмотрена. А NAS Synology вообще молодцы — там при первом включении устройства при его настройке требует задать пароль. Так что стандартными паролями их не похакаешь
Когда пишут про ботнет, говорят какой вирус его собрал и какую уязвимость он использовал. А тут все какие только можно устройства собрались и начали рассылать спам.
Можно ж догадаться. Всё просто. В большинстве бытовой техники стоит linux embedded системы (видел в нескольких разных NAS и современных телевизорах). Доступ по стандартному логину-паролю — вот и весь хак. Ибо большинство покупающих такую технику — домохозяйки, которые не думают о необходимости менять пароль по-умолчанию. Так что такой подход довольно универсален. Всего-то небольшая база из стандартных логин\пароль к разному оборудованию
Имхо, таким устройствам нужен доступ в Интернет по белым спискам
Можно и так. Хотя, по белым спискам вносить железки, которые общаются с торрентами — задачка та ещё
Если туда попадёт троян, как в верхней статье
Как он туда попадёт? В статье пишут, что попадёт он из-вне: Представители компании считают, что основная причина, по которой стало возможным создание такого типа ботнетов — слабая защищенность
Это и проще всего: доступ по дефолтным логин\пароль.
А значит придётся забыть о стриминге фоток и видео с мобильника или планшета на телевизор, использование мобильника в качестве пульта ДУ, запуск фильмов с NAS-а и т.п.
Всё настраиваемо. Мне просто это было не нужно. Я написал под свои требования. Решение вполне масштабируемо. Никто не мешает модифицировать под свои хотелки. Или обратиться ко мне, за советом. Или с просьбой настроить за отдельную плату :)
Это поведение с точки зрения психологии странное. Представьте. Вы — вор. Вы своровали и постарались не оставить следов. Проходит время, и ничего не происходит. Вас за попу никто не берёт. Это сильно уверяет Ваше чувство безнаказанности. Вдруг Вам звонят с незнакомого номера и просят прокомментировать своё причастие к преступлению. Каково Ваше поведение? Фривольно, как ни в чём не бывало скажете в стиле: «мопед не мой»? Или, может, Вас охватит ужас, сознание спутается и Вы бросите трубку без ответа? Или, в лучшем случае, пробормотав что-то не связное.
Лично я за второй вариант. Да к тому же, такое и в классике встречается. Вспомните королевского прокурора Вильфора из графа Монте-Кристо. Когда граф сообщал ему о том, что нашёл могилу ребёнка, при этом даже не сообщая и не намекая, что это дело рук самого Вильфора.
Не факт, что действительность хоть как-то пересекается с «расследованием».
Вот тут сообщается, что подросток живёт не в Питере, с ним связались из СМИ и он сообщает, что он не причастен. Так что если у компании достаточно остнований подозревать — пущай натравливают силовиков.
А если бы название было что-то вроде: "хранилище уникальное информационно-технического анализа" — то же бы сокращение юзали? Яндекс.*сами_знаете_что*?
Мы в России живём. Как Вы тут будете называть этот сервис? Все помнят как у нас величают ОПераторов СОтовой Связи?
Тут товарищ звёздочками прикрывает название — это ещё ничего. А если он позвонит в тех поддержду и вспосмнит, о СОРМе, который анализирует тысячи телефонных звонков на присутсвие определённых слов? Они с саппортом в словарные ассоциации будут играть?
— Ало, у меня тут проблема с Вашим сервисом
— С каким?
— На «К» на чинается, на «н» заканчивается
— Вы забыли как он называется?
— Нет, помню. Но не произношу имени сервиса всуе
Судя по описанию комплекса
данные передаются посредством ВОЛС или радиоканалу 802.11g в оперативный центр управления. Странно, что компьютеры этого самого оперативного центра управления не пострадали. Или пострадали, но в этом самом оперативном центре этого ещё не знают
Трактовки… Вот поэтому я уже давно питаю нелюбовь к тестам. Ещё с институтских времён. Когда на тестах те, кто был хуже готов (или вообще не готов) могли получить оценки выше тех, кто реально хорошо готовился. И дело ведь даже не в зависти. А в том, что можно было лишиться стипендии или вообще попасть на пересдачу просто из-за лени препода, которому впадлу посдиеть со студентом и понять: что же он реально знает? Так нет же: он всем тесты выдаст и будет свою газетку читать
Иными словами, тесты — совершенно не объективная проверка знаний. Их результаты не говорят об уровне экзаменуемого.
А что у нас?
Если это названо «Skype.exe», но неизвестно из какой директории запущено (директория ли самого легитимного скайпа), неизвестно имеет ли цифровую подпись и неизвестно внедрён ли в этот процесс злонамеренный код (например, посредством подгрузки DLL, как вариант DLL Hijacking или иным способом) — то с чего Вы взяли, что это Скайп следит за Вами?
Судя по дальнейшим событиям, этот сынишка — и есть часть бот-сети. Надо бы у знакомого ValdikSS узнать не приходил ли к ним такой же экземпляр.
Ведь с детства учат: после школы-детсада детишек в песочнице держать, рядом с остальными экземплярами. Чтоб не могли зловредный код исполнить.
Ramen Надеюсь, Вы полностью выкусили зловредный код из сознания этого вредоносного малыша? Объяснив азы компьютерной безопасности
Т.е. человек хотел добиться уменьшения записи в логах, чтоб глаза не отвелкало от действительно важных вещей. И, в какой-то степени, малой кровью ему это удалось. Он нигде не пишет, что этот мини скрипт делает его unhackable на 100%
Я по роду деятельности могу находиться в разных уголках света. И в любом из них мне может потребоваться безопасный доступ к своему серверу по SSH. Этот вопрос решается применением port knocking, срабатывание которого добавляет правило в iptables на разрешение доступа с этого IP. А в 12 ночи
карета превращается в тыквуправило удаляется. Дабы не загромождать список правил всеми местами где побывал. да и вообще, для пущей безопасности.Хотя, я так полагаю, мой подход вполне можно подружить с Вашим, и сосуществовать они должны оба мирно
1. Последовательность работы с .bash_history согласно файлу cron:
Т.о. файл сначала удаляется, потом создаётся новый с таким же именем и уж после этого затирается. Значит, чисто теоретически первоначально существовавший до работы cron .bash_history можно восстановить
2. auth.log — затирается
а вот auth.log.1- не затриается. там может быть что-то полезное, хоть и не особо свежее
3. нет удаления syslog.log, в котором можно найти информацию, например, о том как давно зловредный cron скрипт выполнялся
Что у него со временем модификации? Могли обнулить. Хотя, и дату отмотать тоже. Но если обнуляли неграмотно (удаление файла и создание нового пустого) — можно попробовать восстановить
Прям олимпийский выпуск Нашей Раши
— Славик, я чё-то очкую взламывать телефон этого иностранца. А вдруг он эксперт по информационной безопасности?
— Да ты успокойся. Я тыщу раз так делал!
Через минуту подходят с ножом к «эксперту»:
— Дядя, дай телефончик погонять
Ну, а дальше… ставят подозрительные APK-пакеты и т.д. и возвращают
Ну, раз специалисты говорят что нужно менять — наверное путь есть.
Не возьмусь отвечать за все устройства, но у NAS Netgear такая опция в веб-интерфейсе предусмотрена. А NAS Synology вообще молодцы — там при первом включении устройства при его настройке требует задать пароль. Так что стандартными паролями их не похакаешь
Можно ж догадаться. Всё просто. В большинстве бытовой техники стоит linux embedded системы (видел в нескольких разных NAS и современных телевизорах). Доступ по стандартному логину-паролю — вот и весь хак. Ибо большинство покупающих такую технику — домохозяйки, которые не думают о необходимости менять пароль по-умолчанию. Так что такой подход довольно универсален. Всего-то небольшая база из стандартных логин\пароль к разному оборудованию
Можно и так. Хотя, по белым спискам вносить железки, которые общаются с торрентами — задачка та ещё
Как он туда попадёт? В статье пишут, что попадёт он из-вне: Представители компании считают, что основная причина, по которой стало возможным создание такого типа ботнетов — слабая защищенность
Это и проще всего: доступ по дефолтным логин\пароль.
Всё настраиваемо. Мне просто это было не нужно. Я написал под свои требования. Решение вполне масштабируемо. Никто не мешает модифицировать под свои хотелки. Или обратиться ко мне, за советом. Или с просьбой настроить за отдельную плату :)
Один раз грамотно настройте роутер и забудьте об этих проблемах
Лично я за второй вариант. Да к тому же, такое и в классике встречается. Вспомните королевского прокурора Вильфора из графа Монте-Кристо. Когда граф сообщал ему о том, что нашёл могилу ребёнка, при этом даже не сообщая и не намекая, что это дело рук самого Вильфора.
Вот тут сообщается, что подросток живёт не в Питере, с ним связались из СМИ и он сообщает, что он не причастен. Так что если у компании достаточно остнований подозревать — пущай натравливают силовиков.
Мы в России живём. Как Вы тут будете называть этот сервис? Все помнят как у нас величают ОПераторов СОтовой Связи?
Тут товарищ звёздочками прикрывает название — это ещё ничего. А если он позвонит в тех поддержду и вспосмнит, о СОРМе, который анализирует тысячи телефонных звонков на присутсвие определённых слов? Они с саппортом в словарные ассоциации будут играть?
— Ало, у меня тут проблема с Вашим сервисом
— С каким?
— На «К» на чинается, на «н» заканчивается
— Вы забыли как он называется?
— Нет, помню. Но не произношу имени сервиса всуе
В общем, удачи техподдержке Яндекса
данные передаются посредством ВОЛС или радиоканалу 802.11g в оперативный центр управления. Странно, что компьютеры этого самого оперативного центра управления не пострадали. Или пострадали, но в этом самом оперативном центре этого ещё не знают
Иными словами, тесты — совершенно не объективная проверка знаний. Их результаты не говорят об уровне экзаменуемого.