FAQ

Докучаев Дмитрий aka Forb

Спецвыпуск Xakep, номер #045, стр. 045-074-4

Вопросы юзера

Q: Я постоянно читаю рассылки и в курсе недавних уязвимостей. Но в моих логах периодически появляются странные записи о выходах по 11 сигналу веб-сервера. Меня взломали?

A: Тебя пока еще не взломали, а вот за твой сервер отвечать не могу :). К сожалению, крупные уязвимости всплывают не сразу, и ты можешь даже не подозревать об их существовании. Выход по 11 сигналу сулит переполнение буфера в веб-сервере. Поэтому быстро вырубай сервак и обновляй его версию. Также поищи информацию о подобной проблеме в Гугле – возможно, не ты один столкнулся с такой аномалией. Впрочем, если логи показывают ошибки демонов, это еще не значит, что тебя поломали. Возможно, хакер просто сканирует тебя продвинутой тулзой, пытаясь найти уязвимость в сервисе etc.

Q: Я не нашел нового дистрибутива, поэтому поставил старенький Linux. Сразу же закрыл фаерволом порты, чтобы никто меня не сломал. Однако через несколько дней обнаружилось, что система заражена руткитом. Как такое могло произойти?

A: Активный фаервол не защищает от переполнений на 100%. Взломщик мог проанализировать твои правила и найти в них дырку. К тому же, хакер способен проэксплуатировать старый сервис (например, sshd, www, ftpd), благо на старом дистрибутиве во всех демонах есть ошибки. Причин может быть мног, рой логи и ищи аномальные записи. Затем сноси старый пингвин и ставь обновленный релиз.

Q: Существуют ли специальные патчи, спасающие от локального переполнения буфера?

A: Да, такие патчи существуют. Вот список самых достойных:

1. http://www.openwall.com/linux/. Патч для Linux, позволяющий блокировать попытки несанкционированного доступа, такие, как кривые обращения к симлинкам, переполнения стека и т.п.

2. ftp://ftp.lexa.ru/pub/domestic/snar/. Проект libparanoia позволяет заменить стандартные бажные функции на более защищенные. Благодаря этому хакер не сможет переполнить буфер в локальном приложении.

3. http://www.starzetz.com/software/rsx/. Патч RSX позволяет блокировать запуск shell-кода в стеке или куче после переполнения буфера. Используется только с ядрами 2.4.х.

4. http://pageexec.virtualave.net (PAX), http://people.redhat.com/mingo/exec-shield (Exec-shield). Вкусные патчи, ориентированные на блокирование переполнения.

5. Grsecurity. Защищает от множеств переполнений памяти и стека.

Q: А как быть с удаленным переполнением? Существуют ли средства для пресечения хакерских атак?

A: Во-первых, поставь хороший фаервол. Но брандмауэр не сможет в полной мере защитить твою систему. Поэтому найди для себя оптимальную программу, анализирующую сетевой трафик. Это может быть и LIDS, и Snort, прекрасно понимающий нездоровые пакеты. Кстати, некоторые админы до сих пор доверяют таким утилитам, как portcentry и logcentry.