Pr9fCAs3LK.jpg

Состояние файловой системы

Признаками незаконного вторжения могут служить появление в системе новых либо удаление имеющихся файлов и каталогов, изменение содержимого файлов, несоответствие сигнатуры, возникновение новых setuid-программ и быстрое заполнение дискового пространства.

 Новые файлы и каталоги. О взломе системы свидетельствует не только несоответствие сигнатуры, но и появление новых файлов и каталогов. Особенно подозрительными являются файлы, имена которых начинаются с точки, а также файлы с привычными именами, размещенные в неожиданных каталогах.


 Программы setuid и setgid. Возникновение новых setuid-файлов, а также появление признака setuid в имеющихся файлах — достаточный повод для того, чтобы начать тщательную проверку системы.

 Отсутствующие файлы. Исчезновение некоторых файлов, особенно файлов протоколов, сигнализирует о наличии проблемы.

 Быстрое увеличение размеров файловой системы. Если программа df показывает, что файловая система разрастается слишком быстро, следует поискать файлы протоколов, которые создает программа мониторинга системы, установленная хакером.

P.S. На сайте cooler.by Вы сможете купить компьютер , по самым низким ценам. При покупке установка ПО, доставка, подключение бесплатно. А также сможете самостоятельно подобрать конфигурацию компьютера.

 Изменение общедоступных файлов. Подобные изменения могут появляться в областях файловой системы, предназначенной для использования Web- и FTP-серверами.

 Появление новых файлов в каталоге /dev. CERT призывает системных администраторов уделять особое внимание ASCII-файлам, появившимся в каталоге /dev. Как правило, это — конфигурационные файлы для «троянских коней», установленных в системе.

Опубликовано в Разное
/
23 Ноя 2014