Михаил Флёнов - Linux глазами хакера

Если вы узнали о том, что один из сервисов подвержен атаке переполнения буфера, и можете временно обойтись без него, то его следует отключить. Если сервис не нужен, то, не задумываясь ни на одну секунду, удалите его с компьютера.

Если сервис необходим в вашей работе, то первым делом обратитесь на сайт разработчика. Там могут оказаться рекомендации по устранению ошибки, выполните их. Бывает, что разработчики предлагают всего лишь подправить какие-либо конфигурационные файлы, а иногда приходится скачивать последнее обновление программы.

Не устану напоминать, что своевременное обновление программ позволяет значительно повысить надежность сервера. В 90% случаев ошибки переполнения буфера устраняются именно таким образом, потому что связаны с неверной работой кода, и для их исправления требуется вмешательство в логику программы (и перекомпиляция) со стороны разработчика.

При отсутствии рекомендаций по устранению ошибки примите все меры для ограничения прав программы. Если она принадлежит пользователю root и установлен бит SUID или SGID, т.е. программа работает от имени владельца root, даже если ее запустил гость, то необходимо сбросить этот бит.

В качестве самостоятельной защиты от ошибок работы с буфером могу посоветовать воспользоваться утилитой Libsafe ( www.research.avayalabs.com/project/libsafe). Это библиотека создает промежуточный уровень между программой и ОС, перехватывая опасные системные функции, вызываемые кодом взломщика, заменяя их своими аналогами.

У библиотеки один недостаток — происходит небольшая потеря производительности. Но это ничто по сравнению с преимуществами. Утилита не занимается защитой определенной программы или конкретной ошибки. Она направлена на решение большинства потенциальных проблем. От всего защититься невозможно, потому что хакеры всегда придумывают что-то новое. Но даже если обезопасить систему от части возможных ошибок, то система сможет работать безотказно продолжительное время.

Проникнув в систему, хакер стремится укрепиться в ней и получить максимальные возможности. Например, он уже может выполнять на сервере команды от имени простого пользователя. Этого ему будет мало, поэтому следующая цель — получение максимальных прав root со всеми вытекающими отсюда последствиями.

Для решения этой задачи взломщик должен получить возможность закачивать файлы и установить в системе одну из специализированных программ, повышающих права до администратора, — называются rootkit (набор администратора). После этого взломщик выполняет команды следующим образом:

□ от имени простого пользователя, правами которого обладает хакер, директивы посылаются программе rootkit;

□ программа rootkit выполняет полученные команды от имени администратора.

А как же rootkit получает возможность исполнять переданные ей команды с правами root? В этом помогает злополучный SGID-бит. Если он установлен, то программа будет выполняться в системе с максимальными правами администратора.

Но не все так просто. Для rootkit нужно установить SGlD-бит и владельцем определить пользователя root. Тут есть два пути:

□ Если есть возможность выполнять команды chownи chmod, то хакер сможет без проблем реализовать все необходимые действия.

□ Можно подменить программу, которая уже имеет установленный SUID- или SGID-бит.

Вот почему в разд. 12.2 мы так усердно вычищали все SUID- и SGID-программы, каждая из них — это дыра в безопасности, но иногда без этой прорехи жить невозможно. Вам необходимо регулярно следить за такими программами, и в случае появления удалять из системы. Вы также должны держать под контролем все изменения, которые происходят с уже установленными SUID- и SGID-программами. Если их размер изменился, то следует бить тревогу и восстанавливать исходное состояние программы.

Вы должны быть внимательны, когда проверяете SGID-программы. Хакеры знают, что администраторы стараются свести количество таких программ к минимуму, поэтому идут на разные уловки. Например, они могут создать файл /mnt/mountс SUID-битом. Программа mount действительно требует этого бита, но должна находиться в директории /bin. Если вы просматриваете список найденных SUID-программ бегло, то можете не заметить отличие в пути или вообще не обратить на это внимания.

Помимо этого, в названиях программ может идти игра букв. Например, /bin/loginне требует такого бита. Хакер может создать файл /bin/1ogin(первая буква заменена на цифру 1), и визуально программа действительно должна быть в системе, хотя и без SUID- и SGID-бита, но вы не заподозрите ее в злодеянии.

Пакеты rootkit не ограничиваются только предоставлением доступа к выполнению команд от имени пользователя root. Они могут включать еще и различные вспомогательные утилиты, такие как анализаторы сетевого трафика (sniffer), программы управления файлами журналов, позволяющие чистить следы пребывания хакера в системе, и другие полезные взломщику средства.

Загрузив и установив набор rootkit, хакер закрепляется в системе и впоследствии сможет вернуться, даже если была закрыта уязвимость, через которую он изначально проник. Вы должны уметь находить и уничтожать пакеты rootkit, чтобы преградить путь хакеру, который может раньше вас узнать о следующей дыре в системе.

Для облегчения задач администраторов добрыми людьми была разработана программа chkrootkit. Ее можно найти на сайте http://www.chkrootkit.org. На данный момент она способна обнаружить более 50 известных пакетов rootkit. Таким образом, вы без особых усилий можете отыскать и уничтожить в системе потайную дверь для хакера.

Но, как говорится, на бога надейся, а сам не плошай. Готовыми наборами rootkit пользуются только начинающие хакеры или любители. Профессиональный взломщик хорошо знаком с программированием и создаст себе инструмент самостоятельно. Тем более что это не так уж сложно, достаточно знать особенности работы ОС Linux. Поэтому вы должны научиться находить и удалять rootkit.

Определить появление rootkit-пакета вручную поможет сканирование портов. Чтобы воспользоваться потайной дверью, нужно открыть в системе порт, на котором rootkit ожидает соединение со стороны хакера. Взломщик подключается к этому каналу и управляет системой.

Для быстрого сканирования лучше всего подходит пакет nmap ( www.insecure.org). Это один из самых быстрых сканеров под Linux с большими возможностями. Необходимо запустить программу проверки всех 65 535 портов. Для этого нужно выполнить команду:

nmap -р 1-65535 localhost

Параметр -рпозволяет задать диапазон портов. В данном случае установлен весь диапазон от 1 до 65 535.

Помимо этого, может пригодиться один из следующих параметров: