1 / 13

Tinkl ų saugumas

Tinkl ų saugumas. Marija Kairytė Vytautė Balčiūnaitė. Rootkit. Rootkit – tai rinkinys įrankių , skirtas įsilaužimo į sistemą fakto paslėpimui ir tam tikrų veiksmų sistemoje atlikimui . Paprastai rootkit turi šiuos įrankius :

aviva
Download Presentation

Tinkl ų saugumas

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Tinklų saugumas Marija Kairytė Vytautė Balčiūnaitė

  2. Rootkit Rootkit – tai rinkinysįrankių, skirtasįsilaužimo į sistemąfaktopaslėpimuiir tam tikrųveiksmųsistemojeatlikimui. Paprastai rootkit turišiuosįrankius: • Backdoor programos – sukuriagalimybępakartotinamįėjimui į sistemą. • Paketųšniukštinėtojai (sniffer) – perimairanalizuojatinkluperduodamusduomenis • Registravimožurnalųvalymoįrankiai • DDoSprogramos – sistemapaverčiamaDDoSklientu. Įsilaužus į daugiausistemų, galimagalingaDoSataka. • Keylogger– programosregistruojančiosvisusklaviatūrospaspaudimus.

  3. Rootkit grupės • Vartotojo lygio (paslepiami aplikacijų sluoksnyje) • Branduolio lygio (paslepiami branduolio lygyje) • Bibliotekos (library kits)

  4. Rootkit žala sistemai • Atsiranda galimybė prie sistemos prisijungti administratoriaus teisėmis • Perrašo komandas (ls, ps, netstat ir pan.) taip paslėpdamas savo veiksmus sistemoje nuo administratoriaus • Modifikuoja failus • Kuria savo procesus • Bandant pašalinti rootkit iš sistemos, niekada nežinosi, kokią tikrąją žalą jis bus padaręs

  5. Kaip apsisaugoti? • Naudoti firewall • Tiksliai žinoti, kas veikia sistemoje • Apriboti vartotojų teises sistemoje • Visada atnaujinti sistemą • Naudoti įsibrovimo aptikimo sistemas • Stebėti log failus • Naudoti immutable flag

  6. Rootkit naikinimas • Persinstaliuoti pažeistas komandas • Komandos ps pagalba surasti ir sunaikinti rootkit‘o procesus • Surasti ir sunaikinti rootkit‘o sukurtus failus • Peržiūrėti init skriptą

  7. Naudotos priemonės • Rootkit hunter • Shv5(kartu įsirašo ir Shv4)

  8. Shv5 instaliacija

  9. Shv5 sukurti failai ir pažeistos komandos /usr/sbin/lsof/usr/bin/pstree/usr/bin/find/usr/bin/top/usr/bin/dir/usr/bin/slocate/usr/bin/md5sum/bin/ps/bin/ls/bin/netstat/var/tmp/httpd /lib/libsh.so/shrs/lib/libsh.so/shhk/lib/libsh.so/shhk.pub/sbin/ttymon/sbin/ttyload/sbin/ifconfig/usr/lib/libsh/.sniff/shp/usr/lib/libsh/.sniff/shsniff/usr/lib/libsh/.bashrc/usr/lib/libsh/shsb/usr/lib/libsh/hide

  10. Aptikti pažeidimai sistemoje(1)

  11. Aptikti pažeidimai sistemoje(2)

  12. Komandų atstatymas • chattr -sia /bin/ls • rpm -qif /bin/ls • rpm -i –force coreutils-5.97-19.el5.i386.rpm

  13. Ko išmokome? • Kas yra ir kaip veikia rootkit • Aptikti ir šalinti rootkit iš sistemos • Naudotis rootkit aptikimo programomis • Atidžiai skaityti instaliacijos metu gaunamą kiekvieną pranešimą

More Related