Як виявити хакерську атаку?
Є безліч способів скористатися більшістю вразливостей. Для хакерської атаки можна використовувати один експлойт, кілька експлойтів одночасно, невірні настройки програмних компонентів або навіть програму-бекдор, встановлену в операційну систему в процесі попередньої атаки.
Через це детектування хакерської атаки стає не найпростішим завданням, особливо для недосвідченого користувача. У цьому розділі ми постараємося сформулювати поради, здатні допомогти читачеві визначити, чи піддається його комп'ютер хакерській атаці або ж захист комп'ютера вже була зламана раніше. Пам'ятайте, що, як і в разі вірусів, ніхто не дає 100% гарантії, що ви зможете зафіксувати хакерську атаку подібними способами. Втім, якщо ваша система вже зламана, то ви напевно відзначите деякі з наведених нижче ознак.
Файли з підозрілими назвами в папці «/ tmp». Безліч експлойтів в світі UNIX покладається на створення тимчасових файлів у папці «/ tmp», які не завжди видаляються після злому системи. Це ж справедливо для деяких черв'яків, що заражають UNIX-системи; вони рекомпіліруют себе в папці «/ tmp» і потім використовують її в якості «домашньої».
Модифіковані виконувані файли системних сервісів на зразок «login», «telnet», «ftp», «finger» або навіть більш складних типу «sshd», «ftpd» та інших. Після проникнення в систему хакер зазвичай робить спробу вкоренитися в ній, помістивши бекдор в один із сервісів, доступних з Інтернету, або змінивши стандартні системні утиліти, що використовуються для підключення до інших комп'ютерів. Подібні модифіковані виконувані файли зазвичай входять до складу rootkit і приховані від простого прямого вивчення. У будь-якому випадку, корисно зберігати базу з контрольними сумами всіх системних утиліт і періодично, відключилися від інтернету, в режимі одного користувача, перевіряти, чи не змінилися вони.
Модифіковані «/ etc / passwd», «/ etc / shadow» або інші системні файли в папці «/ etc». Іноді результатом хакерської атаки стає поява ще одного користувача в файлі «/ etc / passwd», який може віддалено зайти в систему пізніше. Слідкуйте за всіма змінами файлу з паролями, особливо за появою користувачів з підозрілими логінами.
Поява підозрілих сервісів в «/ etc / services». Установка бекдора в UNIX-системи найчастіше здійснюється шляхом додавання двох текстових рядків в файли «/ etc / services» і «/etc/ined.conf». Слід постійно стежити за цими файлами, щоб не пропустити момент появи там нових рядків, що встановлюють бекдор на раніше не використовуваний або підозрілий порт.