Если система взломана


Что делать, если система взломана? Простого ответа нет. На эту тему написаны толстенные книги. Однако вот несколько общих рекомендаций.

Прежде всего, взломанной системе нельзя доверять. Если злоумышленник получил доступ root к серверу Интернета, он может заменить любую программу в системе. Даже если закрыть «дыру», через которую он проник, в системе может остаться установленная им программа login(8), которая будет посылать имя регистрирующегося пользователя и пароль в какой-нибудь канал IRC. Не доверяйте такой системе. Ее обновление делу не поможет, поскольку даже sysinstall(8) и компилятор находятся под подозрением.

Несмотря на то, что такие инструменты, как rkhunter (/usr/ports/security/rkhunter), могли бы помочь проверить присутствие злоумышленника, ни один инструмент не сможет достоверно сказать, что злоумышленника нет на сервере. Не стесняйтесь написать по адресу FreeBSD#security@FreeBSD.org и попросить совет. Опишите ситуацию и объясните, почему вы думаете, что система взломана. Однако будьте готовы и к такому ответу: переустановите операционную систему с безопасных носителей (FTP или CD-ROM) и восстановите данные с резервной копии. Надеюсь, вы прочли главу 4?

Соблюдение приемов обеспечения безопасности поможет уменьшить вероятность взлома так же, как соблюдение правил дорожного движения уменьшает вероятность автомобильной аварии. Удачи.

Комментарии запрещены.