Linux глазами хакера - [30]

В первой строке мы создаем файл во временной директории /tmp с необходимой датой изменения, по которой и будет происходить сравнение.

Следующие три строки производят поиск файлов. Каждая из них имеет следующую структуру:

>find директория \( -сравнение файл \) -ls

Рассмотрим по частям эту строку:

□ >find — программа поиска файлов;

□ >директория — каталог, в котором нужно искать. В нашем случае я указал системный /etc, в котором хранятся все настроечные файлы;

□ >параметр (-сравнение файл \) — состоит из файла для сопоставления и критерия поиска файлов, который может принимать различные значения:

 • >-newer — дата изменения больше, чем у заданного файла в параметре >файл;

 • >-cnewer — состояние изменено позже, чем у сопоставляемого файла в параметре >файл;

 • >-anewer — дата последнего доступа превосходит, аналогичный параметр сравниваемого файла;

□ параметр >-ls — отображает на экране список файлов (как при выполнении команды >ls).

На даты изменения можно надеяться, но необходимо дополнительное средство проверки. Наилучшим методом является подсчет контрольной суммы. Допустим, что вы хотите отслеживать изменения в директории /etc. Для этого выполните следующую команду:

>md5sum /etc/*

Таким образом, подсчитывается контрольная сумма указанных в качестве параметра файлов. На экране вы получите результат выполнения команды примерно такого вида:

>783fd8fc5250c439914e88d490090ae1 /etc/DIR_COLORS

>e2eb98e82a51806fe310bffdd23ca851 /etc/Muttrc

>e1043de2310c8dd266eb0ce007ac9088 /etc/a2ps-site.cfg

>4543eebd0f473107e6e99ca3fc7b8d47 /etc/a2ps.cfg

>c09badb77749eecbeafd8cb21c562bd6 /etc/adjtime

>70aba16e0d529c3db01a20207fd66b1f /etc/aliases

>c3e3a40097daed5c27144f53f37de38e /etc./aliases.db

>3e5bb9f9e8616bd8a5a4d7247f4d858e /etc/anacrontab

>fe4aad090adcd03bf686103687d69f64 /etc/aspldr.conf

>...

Результат отображается в две колонки: первая содержит контрольную сумму, а вторая — имя файла. Контрольные суммы подсчитываются только для файлов. Для каталогов будет выведено сообщение об ошибке.

В данном случае указаны все файлы каталог а /etc/*. Результат расчета выводится на экран. Но запоминать эти данные неудобно, поэтому логично будет записать их в файл, чтобы потом использовать его содержимое для анализа изменений. Следующая команда сохраняет результат в файле /home/flenov/md:

>md5sum /etc/* >> /home/flenov/md

Чтобы сравнить текущее состояние файлов директории /etc с содержимым файла /home/flenov/md, необходимо выполнить команду:

>md5sum -с /home/flenov/md

На экране появится список всех файлов, и напротив каждого должна быть надпись "Success" (Успех). Это означает, что изменений не было. Давайте модифицируем какой-нибудь файл, выполнив, например, следующую команду:

>groupadd test

Пока не будем вдаваться в подробности команды, сейчас достаточно знать, что она изменяет файл /etc/group. Снова выполняем команду проверки контрольных сумм файлов:

>md5sum -с /home/flenov/md

Теперь напротив файла /etc/group будет сообщение об ошибке, т.е. контрольная сумма изменилась. Таким образом, даже если дата корректировки файла осталась прежней, по контрольной сумме легко определить наличие вмешательства.

Некоторые администраторы следят только за файлами настройки. Это большая ошибка, потому что атакой хакеров может быть не только конфигурация, но и исполняемые файлы. То, что Linux является продуктом с открытым кодом, имеет свои преимущества и недостатки.

Порок в том, что профессиональные хакеры знают программирование. Им не составляет труда взять исходный код какой-либо утилиты и изменить его на свое усмотрение, добавив необходимые функции. Таким образом, очень часто в системе открыты потайные двери.

Вы должны контролировать изменения как конфигурационных файлов, так и всех системных программ и библиотек. Я рекомендую следить за каталогами /etc, /bin, /sbin и /lib.

ОС Linux достаточно демократично относится к именам создаваемых файлов, позволяя использовать абсолютно любые символы, кроме знака "/", который является разделителем каталогов, и "0", который определяет конец имени файла. Все остальное можно применять.

Самое неприятное — это возможность использовать невидимые символы, т.к. хакер может создать программу, у которой в имени только нечитаемые знаки, и пользователь не видит такого файла. Таким образом, взломщики скрывают в ОС свои творения.

Рассмотрим пример с использованием перевода строки. Допустим, что хакер назвал свой файл hacker\nhosts.allow. В данном случае под "\n" подразумевается перевод каретки, а значит, имя состоит из двух строк:

hacker

hosts.allow

Не все программы могут обработать такое имя правильно. Если ваш файловый менеджер работает неверно, то он отобразит только вторую строку — hosts.allow, и администратор не заподозрит ничего страшного в таком имени.

Еще один способ спрятать файл — в качестве имени указать точку и пробел ". " или две точки и пробел ".. ". Файл с именем в виде точки всегда указывает на текущую директорию. Администратор, выполнив команду >ls, может не заметить, что существуют два файла с одинаковыми именами, а пробела все равно не видно.