Hjemmeeksamen, ubeskyttet Ubuntu på nett

[Nevyn]

Hadde det vært min maskin så hadde jeg ikke giddi med detta. Var det mistanke om at noen hadde angrepet den så hadde jeg bare reinstallert.

7540892[/snapback]

Da tror jeg ikke du har mye innsikt i hva sikkerhet går ut på. Hva med sensitive opplysninger som ligger på maskinen? En av tingene du bør finne ut av er om noen har fått tilgang til filene i hjemmeområdet /home/luser

7542173[/snapback]

 

Sensitive opplysninger på en hjemmemaskin? Jeg hadde nok hentet ut dokumenter, bilder o.l. som jeg ville ta vare på. Men å bruke mange dager på å prøve å finne ut hva som faktisk skjedde, det vet jeg ikke om jeg ville brukt tid på. Hvis det viser seg at maskinen f.eks. er infisert med et rootkit, så er de fryktelig vanskelig å bli kvitt, uansett hva man har av verktøy tilgjengelig.

 

/home/luser skal sjekkes.

 

Nevyn

[kyrsjo]

Hvor er det du går da? Dersom du har fått en eksamen som går på å analysere en linux-maskin, så nekter jeg å tro at det ikke er meningen at dere skal kunne linux. Kansje professoren regnet meg at "dersom dere går på en it-sikkerhetslinje, så kan dere linux. I allefall bør dere kunne det.".

 

Går på Høgskolen i Gjøvik, infosikkerhet. Jeg har en mistanke om at det hele handler om lisensrettigheter og slikt. Hvis det var en Windowsmaskin som skulle vært brukt på en lignende måte så hadde det muligens blitt mer surr med å få fikset lisenser og slikt.

 

Dersom professoren viste hva han dreiv med, hadde han ikke gitt dere en oppgave i noe dere ikke kan. Evt. så skal dere kunne.

 

Er uansett veldig dumt å bare lære seg windows dersom man ønsker å drive profft med data... Er veldig mye å lære på UNIX-plattform, uansett hva du driver med til daglig.

 

Forøvrig: Linux-hjemmemaskiner får ikke angrep mot seg, med mindre fyren som har satt den opp enten er en idiot (ala kineseren), eller har ekstremt sensitive data. Spyware, virus etc. er et ikke-tema...

 

Det er jo greit og vite. Som du kanskje har skjønte så oppholder jeg meg vansligvis i en Windows verden til daglig, og der er jo det så vanlig at man etterhvert bare ignorerer det.

 

Men finn ut hva dpkg er, og sammenlikn filene på maskinen (md5-summer eller noe) med filer fra en maskin som har de samme pakkene installert (du hadde wmware, så det å sette opp en "identisk" maskin og se hva som er tukla med burde være en smal sak. Sammenlinkningsprogrammer finnes det en del av for å sammenlikne tekstfiler når du har funnet hvilke som er forskjellig) Du klarer sikkert å skrive et script eller noe som ordner dette - og ta en titt på "man md5sum".

 

Det var en god idè, det må jeg prøve å få til.

 

Nevyn

7541645[/snapback]

[Zenit]

Loggen ser ikke spesielt interessant ut, men som nevnt kan den være forfalsket. Sjekk gjerne andre logger også, f.eks. loggene til apache.

 

Siden du har kjørt chkrootkit, så kjør gjerne også rootkit hunter i tillegg. Bruk find til å sjekke for mistenkelige filer som er satt suid eller gid root.

 

Noen nevnte md5sum, det er et godt forslag. Begynn gjerne med ps, top, ifconfig, netstat for å nevne noen.

 

Er netstat i orden, kan du sjekke om noe lytter på ukjente porter. Bruk ellers nmap og netcat mot boksen.

 

(ingen fasitsvar, du får google litt

 

edit: la til et par ting

Endret 21. desember 2006 av Zenit