Представьте себе одну из самых страшных ситуаций, которые могут возникнуть в любой компании: увольняется системный администратор. Не страшно? Тогда ухудшим ситуацию: увольняется обиженный системный администратор. Сгустим краски - увольняется злой обиженный системный администратор. Вы уверены, что он не захочет отомстить компании? Хорошо, если не нравится ситуация с администратором, пусть нас пригласят на восстановление компьютера, захваченного хакером.
Если проблема затрагивает более одного браузера, проверьте, нет ли проблем с настройками и подключениями в сети и на вашем компьютере.
При использовании Интернета существуют неотъемлемые риски. для получения дополнительной информации. Другие названия компаний и продуктов могут быть товарными знаками соответствующих владельцев. Существует два способа поиска файлов на вашем компьютере путем поиска или доступа непосредственно из вашей папки. Вы можете искать файл с помощью панели запуска или диспетчера файлов. Вы также можете использовать домашнюю панель или диспетчер файлов для доступа к обычно используемым папкам, а также к последним доступным файлам.
В общем, в этой статье я попробую рассказать о методике поиска "закладок". Наученный горьким опытом, сразу вынужден оговориться, что я никогда не оставлял закладки и прочие подобные гадости - это не в моем стиле, да и незачем мне это. А вот искать приходилось и не раз.
К счастью, общий уровень взломщиков очень низок, как и уровень большинства администраторов. Первые обычно пользуются дырами, которые не закрыли соответствующими патчами вторые. Среди взломщиков я еще не видел ни одного хакера. Мудаков видел много. Очень много. Самый типичный вариант - откапывание какого-нить замшелого руткита и попытка его использования без понимания, что и как он делает.
Персональная папка используется для хранения личных файлов. Ваша домашняя папка имеет ваше имя для входа и создается при создании учетной записи пользователя. Эти папки создаются автоматически во время процесса установки. Вы также можете добавить больше файлов и папок по мере необходимости. В некоторых случаях невозможно скрыть файлы и папки без префикса с периодом.
Скрытие файлов с помощью точки. это не мера безопасности, это просто способ помочь вам организовать ваши файлы. Вы можете вырезать, копировать и вставлять файлы или папки в диспетчере файлов, щелкнув правой кнопкой мыши элемент и выбрав соответствующий элемент во всплывающем меню.
Итак, начинаем. Я взял самый страшный случай: с сервером точно что-то не так. Но останавливать его надолго нельзя. Отключать из сети - тоже. Все остальные случаи будут производными от этого.
Заходим в систему и смотрим, что используется. Затем любым способом приносим в систему обновленные версии всех установленных пакетов. Если нет обновленных версий, приносим заново те, что сейчас стоят. Главное, что бы вы были уверены в чистоте этих пакетов. И как можно быстрее их все устанавливаем. В идеале - все одной командой (rpm -Uhv *). Обязательно обращаем внимание на сообщения менеджера пакетов (опция -v). Затем блокируем менеджер пакетов (к примеру, запустите на отдельной консоли rpm -qa|less).
Несколько файлов можно выбрать, нажав на пустое место, удерживая кнопку мыши и перетаскивая курсор над нужными файлами или папками. Это действие «щелчок и перетаскивание» полезно, когда вы выбираете элементы, которые сгруппированы вместе. Когда один или несколько элементов были скопированы, перейдите в нужное место, затем щелкните правой кнопкой мыши на пустой области окна и выберите пункт «Вставить», чтобы скопировать их в новое место. Хотя команда копирования может использоваться для создания копии файла или папки в новом местоположении, команда обрезки может использоваться для перемещения файлов и папок, то есть копия будет помещена в новое место, а элемент будет удалено из текущего местоположения.
Теперь смотрим на результаты:
Как вы можете понять из вышеприведенного, я только что показал два варианта маскировки в системе:
Обратите внимание, что когда вы обрезаете или копируете файл или папку, ничего не произойдет, пока вы не вставьте где-нибудь. Вставка влияет только на последний отрезанный или скопированный элемент. Чтобы переместить файл или папку, выберите элемент для перемещения, затем нажмите «Редактировать ‣ Вырезать». Перейдите в нужное место и нажмите «Редактировать ‣ Вставить».
Как и в случае с приведенной выше командой копирования, вы также можете выполнить это действие с помощью меню правой кнопки мыши, и оно будет работать одновременно для нескольких файлов или папок. Альтернативный способ перемещения файла или папки - щелкнуть элемент, а затем перетащить его в новое место.
Первый - это когда взломщик сам или с помощью root-kit"а модифицировал системные программы так, что бы они не показывали определенные процессы в системе. Сделать это не так сложно, как кажется на первый взгляд: исходные тексты всех программ доступны без каких-либо проблем.
Второй - это модификация системных скриптов для запуска своих программ. В показанном примере вы сможете увидеть, что при обновлении rpm увидел, что inittab отличается от того, который он ожидал увидеть. А раз отличается, то в нем что-то добавлено или убрано. Насколько опасны эти изменения - решать вам.
Пользовательские закладки уже добавлены в раздел Закладки, также на левой панели. Однако этот раздел появляется только после создания первой закладки. Имя папки отображается в разделе «Закладки» на левой панели. . Часто нам нужно отправить несколько файлов или очень большой файл. В этих двух случаях часто бывает полезно сжимать их, что облегчает передачу. Разница между ними заключается в используемом алгоритме, что приводит к разным скоростям уплотнения. Сжатие файлов - шаг 1.
Сжатие файлов - шаг 2. Чтобы извлечь сжатый файл, просто откройте «Наутилус», щелкните правой кнопкой мыши по файлу и выберите «Извлечь здесь». Выберите свой предпочтительный макет в нашей библиотеке профессиональных шаблонов Загрузите свои фотографии или выберите более 1 профессиональных изображений. Загрузите собственные изображения или выберите из нашей базы данных изображения более 1 миллиона фотографий, изображений и иллюстраций. Выберите фон в нашей библиотеке или выберите свой любимый образ. Измените цвета. Выберите цвета текста и текстовые поля, чтобы придать особое значение.
Третий пункт необходим для уверенности в том, что в системе стоят чистые версии программ. Как и исходники самих программ, исходные тексты пакетов доступны без проблем. Взломщик вполне мог собрать свою версию пакета и установить его в системе как обновление. В итоге все системы контроля, основанные на подсчете контрольной суммы программ (к примеру, сам rpm) считали бы, что все в порядке. Плюс если в программах была какая-то уязвимость (к примеру, были древние ssh, named и apache), то после обновления она автоматически закроется и не даст взломщику совершить повторную атаку.
Или вы предпочитаете знаменитое туристическое место в городе, где разворачивается история? Все фотографии проходят процесс анализа и отбора, поэтому у вас есть лучшие варианты, некоторые из них бесплатны. Чтобы просмотреть только бесплатные параметры, перейдите на вкладку «Элементы» и выберите папку «Свободные фотографии».
Затем настройте его по мере необходимости: измените цвет текста и других элементов, измените все, измените размеры, замените изображения и кавычки и все! Еще несколько кликов, и у вас будет идеальный компаньон для чтения. Лучше всего, если вы хотите создать другую закладку с тем же макетом, вы можете дублировать свой дизайн!
Последний пункт - блокировкой менеджера пакетов мы создали себе маленькую гарантию того, что пока мы разбираемся в других местах, взломщик не "обновит" то, что ему надо.
Теперь воспользуемся командой netstat и определим, какие сервисы какие порты слушают. Здесь должны присутствовать только те сервисы, которые должны. Всех лишних "слухачей" вам необходимо с помощью kill -9 отстрелить.
Когда ваш дизайн будет готов, просто попробуйте! Вы также можете показать дизайн своей любимой социальной сети. Хотите внести изменения или изменить на лету?
Фактически, вы можете редактировать и сохранять дизайн столько раз, сколько хотите. Вы даже можете использовать существующий дизайн в качестве шаблона. На вкладке «Все ваши проекты» наведите указатель мыши на свой первый дизайн закладки, щелкните стрелку в правом верхнем углу эскиза рисунка и выберите «Сделать копию».
Только не забудьте, что вызывать тот же netstat необходимо с полным путем. Почему? Вот маленький пример:
[ root]# mkdir test [ root]# cd test [ test]# cat > bad_file #!/bin/bash ls $1|grep -v bad_file [ test]# chmod +x bad_file [ test]# ls -l total 1 -rwxr-xr-x 1 root root 35 Jul 8 15:40 bad_file [ test]# alias ls="/root/test/bad_file" [ test]# ls [ test]# ls -l total 1Как видите, взломщик может просто поправить тот же bash_profile и сделав скрипты-заглушки для основных утилит, спокойно скрыть практически любые изменения в системе, при этом не трогая самих утилит. И никакой tripwire не обнаружит подмены, если только его не натравливать на каждый файл в файловой системе, что будет являться чистой воды идиотизмом.
Водяные знаки используются для защиты платных изображений, принадлежащих фотографу. Затем появится сообщение с просьбой оплатить изображения, которые вы использовали в своем дизайне. Если вы хотите распространять закладки для продвижения своего бренда, загрузите свой логотип, используйте цветовую палитру своего бренда и выберите согласованные шрифты, чтобы создавать легко распознаваемые проекты.
Чтобы загрузить логотип, откройте вкладку «Загрузки» на панели «Объекты», выберите папку «Загрузки» и нажмите кнопку «Загрузить свои изображения». Его можно считать виртуальным маркером и действовать именно так. С помощью мыши вы можете граффити, окружить и пометить любую часть экрана, не изменяя его, что служит для важных моментов в презентации. Программа изначально была сделана на немецком языке, но может быть переведена на несколько других языков.
Итак, пример обнаружения и отстрела неизвестной программы:
[ root]# /bin/netstat -npl|/bin/grep LIST tcp 0 0 172.16.0.250:139 0.0.0.0:* LISTEN 826/smbd tcp 0 0 172.16.0.250:80 0.0.0.0:* LISTEN 762/httpd tcp 0 0 0.0.0.0:65500 0.0.0.0:* LISTEN 809/init tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 705/sshd tcp 0 0 0.0.0.0:1723 0.0.0.0:* LISTEN 790/pptpd tcp 0 0 172.16.0.250:443 0.0.0.0:* LISTEN 762/httpd [ root]# /bin/kill -9 809 [ root]# /bin/netstat -npl|/bin/grep LIST tcp 0 0 172.16.0.250:139 0.0.0.0:* LISTEN 826/smbd tcp 0 0 172.16.0.250:80 0.0.0.0:* LISTEN 762/httpd tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 705/sshd tcp 0 0 0.0.0.0:1723 0.0.0.0:* LISTEN 790/pptpd tcp 0 0 172.16.0.250:443 0.0.0.0:* LISTEN 762/httpdТут я прибил неизвестный мне процесс init, которому зачем-то понадобилось слушать порт 65500. Тем более, что я знаю то, что init в системе может быть один и он должен иметь pid равный единице.
Чтобы загрузить пакет перевода, просто нажмите на эту ссылку. Извлеките содержимое этой загрузки и выберите один из файлов языков, в соответствии с концом вашей номенклатуры. Чтобы изменить язык программы, вы должны изменить его имя. Удалите последние буквы файла, чтобы оставить его таким образом.
Программа автоматически запустится на выбранном вами языке, не требуя дополнительных настроек для внесения изменений. Если вы хотите снова оставить его на немецком языке, просто удалите файл перевода из корневой папки. Помимо ручки, чтобы отметить, есть несколько интересных инструментов в программе и различных цветов для применения к эффектам. Нажмите здесь и узнайте для создания точки восстановления. Во время установки может быть предложено некоторое дополнительное программное обеспечение. Установка этого дополнительного программного обеспечения полностью необязательна, и вы можете не устанавливать ничего, кроме загружаемой программы.
Теперь воспользуемся командой ps и начнем планомерный поиск с последующим убиванием всех странных программ, работающих в системе.
[ root]# /bin/ps -axfВнимательно рассмотрите полученное дерево процессов. Первое, на что вам следует обратить внимание - это на присутствие неизвестных вам процессов. Их следует немедленно убивать. Максимум, что вы можете позволить себе перед выполнением команды kill, так это узнать, откуда был запущен процесс. Но особо не доверяйте этой информации - ее можно изменить.
Для получения дополнительной информации нажмите здесь. Он служит для обозначения или распространения важных проходов, для быстрого заметок, для увеличения областей, которые трудно читать, и нескольких других очень полезных возможностей для ведущего. «Закладка», также называемая «любимая», «закладка» или «закладка», используется для идентификации определенного имени, местоположения или веб-источника для последующего возврата. Однако наличие сохраненных на мобильном устройстве закладок может иногда не очень удобно, если вы хотите управлять и переупорядочивать их.
Второе, на что следует обратить внимание - это на "двойников". Простой пример:
762 ? S 0:04 /usr/sbin/httpd -DHAVE_ACCESS -DHAVE_PROXY -DHAVE_AUT 13835 ? S 0:00 \_ /usr/sbin/httpd -DHAVE_ACCESS -DHAVE_PROXY -DHAVE 13836 ? S 0:00 \_ /usr/sbin/httpd -DHAVE_ACCESS -DHAVE_PROXY -DHAVE 13837 ? S 0:00 \_ /usr/sbin/httpd -DHAVE_ACCESS -DHAVE_PROXY -DHAVE 13838 ? S 0:00 \_ /usr/sbin/httpd -DHAVE_ACCESS -DHAVE_PROXY -DHAVE 13839 ? S 0:00 \_ /usr/sbin/httpd -DHAVE_ACCESS -DHAVE_PROXY -DHAVE 890 ? S 1:03 /usr/sbin/httpd -DHAVE_ACCESS -DHAVE_PROXY -DHAVE_AUT
Таким образом, решение было бы экспортировать их на компьютер. 
Но как только все будет настроено правильно, ваши избранные автоматически синхронизируют ваш телефон с компьютером. Оба эти метода эффективны. Но чтобы помочь вам выбрать наиболее подходящий метод, приведена сравнительная таблица. Таким образом, вы можете выбрать лучшее решение для своих нужд.
Если вы привыкли использовать закладки в своем веб-браузере и на самом деле используете их каждый день, то вы уже выяснили, есть ли какая-либо функция, которая сделает заказ в открытых закладках. Ее можно только признавать в 20 открытых вкладках и находить правильный как можно быстрее, и это может быть довольно сложно в течение некоторого времени. К счастью, в большинстве современных браузеров есть функции закладки, что в буквальном смысле является благословением в этих ситуациях.
Как видите, процесс, имеющий pid 890, резко выделяется среди себе подобных. Если система специально так не сконфигурирована, то в ней должен быть один корневой httpd. Все остальные должны быть потомками. А этот процесс и не потомок и не имеет их. Тем более, имеет такое несуразное с остальными процессами время выполнения. Однозначно троян. А ведь не попроси мы ps построить дерево (ключ -f), то могли бы и пропустить такой процесс.
Давайте посмотрим, как работает закладка в вышеупомянутых интернет-браузерах. Откройте закладку в своем браузере и загрузите любую веб-страницу, которую вы хотите сохранить. После того, как вы загрузите все сайты, загруженные в закладки, щелкните правой кнопкой мыши каждую из закладок и выберите «Панель контактов» в появившемся всплывающем меню. Вкладка становится меньше и перемещается в левый край окна браузера.
Закладки отличаются от обычных вкладок в некоторых отношениях. Прежде всего, на кресте нет значка, поэтому вы не рискуете закрыть его по ошибке. Однако они ведут себя по-разному в качестве стандартных закладок. Закладки также очень маленькие, их размер установлен достаточно, чтобы соответствовать значку сети.
Следующий этап по очистке - это ревизия системных файлов или поиск входов для взломщика. Самым частым методом является заведение нового пользователя или добавление возможности входа для пользователя. Вот поглядим на такой маленький пример из /etc/passwd
Rpm:x:37:37::/var/lib/rpm:/bin/bash
если в /etc/shadow
Rpm:!!:12064:0:99999:7:::
на месте двух восклицательных знаков пустота или наоборот - куча символов, то поздравляю, вы нашли один из входов взломщика. Понятное дело, пользователя rpm я взял для примера. Не забудьте проверить конфигурационные файлы для xinet.d или inetd. Вот пример:
[ root]# cd /etc/xinetd.d [ xinetd.d]# cat daytime # default: off # description: A daytime server. This is the tcp \ # version. service daytime { disable = no id = daytime-stream socket_type = stream protocol = tcp user = root wait = no server = /usr/lib/.../hackit server_args = }Хотя по идее это вы должны были увидеть еще на этапе проверки системы netstat"ом.
Все. Если вы проделали эти шаги, вам осталось вычистить остатки от троянцев и прочего мусора и начать проводить ревизию, того, что осталось и как так получилось. Необходимо просмотреть все, вплоть до конфигурационных файлов crond.
Самыми часто употребляемыми взломщиками способами скрыть свою деятельность в системе является чистка логов. Тут я вам ничем помочь не могу, если вы заранее не побеспокоились о передаче логов на отдельную машину. Как это сделать man syslog.conf
Конечно, вышеприведенный текст не является полным описанием способов маскировки взломщика на компьютере и методов защиты от этого. Я, к примеру, не рассказал про логические бомбы (к примеру, завязанные на блокирование аккаунта какого-либо пользователя), не рассказал я так же про интеграцию трояна с почтовыми системами (к примеру, через smrsh) и прочие подобные фокусы. Ибо все это описать невозможно.
А вот как защищаться более серьезно от всех этих безобразий, я специально писать не стану. Почему?
Во-первых, я не ставил такой цели. Я это написал лишь для того, что бы обозначить пути, которыми пользуются взломщики.
Во-вторых, я сознательно отсекаю долбоебиков. Кто не понял идеи, тот на этом и застопорится. (если бы вы знали, как меня задолбали пионеры, которые не умеют пользоваться поисковыми серверами и не умеют читать документацию. Причем "пионер" - это вовсе не возраст, а сознание человека)
И в-третьих, надо что-то оставить на поживу тем, кто живет с этого. Если фокусник будет рассказывать все о своих фокусах, никому не будет интересно... ;-)
На первый взгляд, кажется, что этот запрос является прекрасным кандидатом для поиска по некластеризованному индексу, созданному по столбцу b (T_clu_b), и при использовании предиката выборки "b = 2". Однако, этот индекс не покрывает столбец "e", таким образом поиск или сканирование этого индекса не может вернуть значение столбца "e". Решение простое. Для каждой строки, которую мы выбираем из некластеризованного индекса, мы можем найти значение столбца "e" в кластерном индексе. Мы называем эту операцию "поиск закладки". " Закладка" - это указатель на строку в куче или кластерном индексе. Мы сохраняем закладку для каждой строки в некластеризованном индексе для того, чтобы можно было перейти из некластеризованного индекса к соответствующей строке в базе таблицы.
Следующий рисунок иллюстрирует поиск закладки:
План исполнения для примера
В SQL Server 2000 поиск закладки осуществляется с помощью специального итератора, который используется и тогда, когда база таблицы является кластеризованным индексом, и тогда, когда это куча:
| |--Nested Loops(Inner Join, OUTER REFERENCES:()) |--Index Seek(OBJECT:(.), SEEK:(.[a]=(2)) ORDERED FORWARD) |--RID Lookup (OBJECT:(), SEEK:(=) LOOKUP ORDERED FORWARD) |
Можно сказать, что поиск по кластерному индексу - это поиск закладки с ключевым словом LOOKUP в тексте плана исполнения или атрибутом Lookup="1" в плане исполнения формата XML. Я поясню поведение вложенного цикла в следующей статье. Циклические соединения и поиск по кластеризованному индексу (или поиск по RID) делают то же самое что и поиск закладки в SQL Server 2000.
Выгоды и потери
Поиск закладки - недешевая операция. Предположим (типичная ситуация) что между
индексными ключами некластеризованного и кластеризованного индексов нет никакой
корреляции, и при каждом поиске закладки выполняется ввод-вывод в кластерный индекс
случайного типа. Случайные операции ввода-вывода обходятся дорого. При сравнении
различных альтернатив плана, включая сканирование, поиск и поиск закладок, оптимизатор
должен решить, что обойдётся дешевле. Он может выбрать операции ввода-вывода
последовательного типа (используя сканирование индекса), но при этом будет затронуто
большое число строк. Если он выберет поиск с условием, селективность уменьшится, и
будут охвачены все требующиеся столбцы. И наконец, он может выбрать вариант с меньшим
числом операций случайного ввода-вывода, затронув меньше строк, и используя поиск
с условием, характеризуемый большей селективностью и наличием поиска закладок.
В некоторых случаях Вы можете заставить оптимизатор использовать лучший вариант плана,
создав новый индекс, или добавив один или несколько столбцов к существующему индексу.
Это позволит устранить поиск закладок или заменить сканирование поиском. В SQL Server
2000 единственным способом добавления столбцов к индексу являлось добавление ключевых
столбцов. Как я уже упомянул выше, в SQL Server 2005, Вы можете добавлять также столбцы,
используя предложение "include" в инструкции создания индекса. Присоединяемые столбцы
более эффективны, чем ключевые столбцы; они экономят дисковое пространство и делают
поиск и модификацию индекса более эффективными.
Не стоит забывать, что всякий раз, когда Вы создаете новые индексы или добавляете
новые ключевые/присоединяемые столбцы к существующему индексу, выделяется дополнительное
дисковое пространство, и это делает более дорогостоящими операции поиска и модификации
индекса. Таким образом, необходимо найти баланс между частотой использования и важностью
использующих новый индекс запросов, чтобы его добавление/изменение не привело к замедлению
выборки или внесения изменений в данные.
Продолжение следует…
В моей следующей статье я более подробно рассмотрю случаи когда поиск по индексу является лучшим выбором, а также случаи, когда осуществляется поиск по индексу, состоящему из одного поля и нескольких полей.
