Найдем и обезвредим!

Докучаев Дмитрий aka Forb

Спецвыпуск Xakep, номер #035, стр. 035-094-6

От разного рода троянов помогает защита фаервола. Linux-пользователям повезло - им не придется искать какую-либо софтину из этой отрасли. Достаточно воспользоваться системной утилитой iptables.

Чтобы обезопасить себя от воздействия бэкдоров и руткитов, просто закроем все порты, оставив лишь системные, на которых находятся доверенные сервисы. Итак, с помощью нескольких правил, мы реально убережем систему от внешних (и внутренних) злоумышленников.

# /sbin/iptables -A INPUT -j ACCEPT -p tcp -m multiport --destination-port 21,22,25,53,80,110

## Откроем необходимые порты.

# /sbin/iptables -A INPUT -j ACCEPT -i lo

## Разрешим обмен пакетами по локальному интерфейсу.

# /sbin/iptables -A INPUT -j ACCEPT -p tcp -m state --state RELATED,ESTABLISHED

## Позволим проходить пакетам от уже установленных соединений.

# /sbin/iptables -P INPUT DROP

## Сменим политику цепочки INPUT на DROP (запрет на все пакеты кроме исключений, описанных ранее).

# /sbin/service iptables save

## Сохраним правила в отдельном скрипте.

Таким образом, после правильной установки фаервола, подключиться к твоей машине на необъявленный порт становится невозможным.

Вторым способом защиты от руткитов являются специальные программы, нацеленные на детектирование заразы. Пример такой софтины - пакет chkrootkit (ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz). Полезность этой проги заключается в следующем: после запуска утилита проверяет дефолтовые сигналы известных ей руткитов, затем ищет заразу в определенных скрытых директориях и сканит бинарные файлы на предмет заражения. После всего этого пользователь получит полный отчет о работе программы.

И напоследок...

Это далеко не все методы определения и защиты системы от вирусов. Если учитывать, что вирусмейкеры не стоят на месте, а ищут все новые способы незаметного заражения системы, можно сделать вывод - абсолютной защиты не существует. Остается лишь надеяться, что разработчики антивирусного ПО тоже не дремлют и своевременно обновляют свои базы, а также создают методику лечения приложений от того или иного виря.

Слово об IDS

Помимо софта, который проверяет систему на наличие заразы, существуют пакеты IDS (Intrusion Detection System). Загружаемые в ядро модули следят за событиями в системе. При определенных настройках, модуль не позволит загрузить в ядро руткит. Вообще, правильно настроить IDS - очень сложная задача, и сделать это может лишь весьма грамотный администратор. Примерами таких систем являются известные проекты LIDS (www.lids.org/download/lids-0.11.0-2.2.20.tar.gz) и NIDS (www.scaramanga.co.uk/firestorm/v0.5.3/firestorm-0.5.3.tar.gz).

Если тебе стало интересно, можешь прочитать про настройку LIDS на известном проекте www.opennet.ru/docs/RUS/lids/lids1.html.

Сложности с лечением от вирусов

Многие вирусы позволяют излечить бинарники от заразы. Но с этим связано одно осложнение. Как правило, антивирь пытается убрать записи заразы из исполняемого файла. Но это не всегда так. Бывает, что программа просто записывает новый блок кода в бинарник, тем самым... увеличивая его размер. Я сам столкнулся с этой проблемой: когда я лечил Linux от известного виря, общий вес бинарников после лечения увеличился аж на 300 мегабайт. В итоге я задался вопросом - не проще ли переустановить систему, чем идти на такое лечение?