Skip to main content

Простае адсочванне змяненняў файлаў



У выпадку ўзлому сервера, хакер можа мадыфікаваць файлы з мэтай пакінуць які-небудзь бэкдор, шелл і да т.п. Змененыя файлы можна было б адсачыць па даце мадыфікацыі, але гэтую дату лёгка падрабіць дапамогай утыліты touch.

Замест гэтага можна параўноўваць кантрольныя сумы файлаў. Калі кантрольная сума файла будзе адрознівацца ад наяўнай, то файл быў мадыфікаваны. Гэты метад можна ўжываць для любых файлаў: канфігурацыйных, файлаў сайта, выкананых файлаў і г.д.



Каб падлічыць кантрольныя сумы файлаў, напрыклад, у тэчцы / etc, скарыстаемся камбінацыяй каманд find і sha256sum:

  # Find / etc -type f |  xargs sha256sum> file.txt 

Сцяг -type f паказвае праграме find шукаць толькі файлы (для тэчак вылічыць кантрольную суму нельга), а file.txt - гэта імя файла, куды будуць запісаныя хэш-сумы ўсіх знойдзеных файлаў.

Калі неабходна падлічыць кантрольную суму толькі для пэўных файлаў, php, напрыклад, то варта паказаць сцяг -name \ *. Php (маска файлаў * абавязкова экрануе зваротным слэшам):


  # Find www -type f -name \ *. Php |  xargs sha256sum> file.txt 

Таксама можна вылічыць кантрольную суму для канкрэтнага файла:

  # Sha256sum backup.tar.gz> file.txt 

А цяпер параўнаем атрыманыя хэш-сумы з хэш-сумамі файлаў:

  # Sha256sum -c file.txt 

І калі кантрольная сума пэўнага файла супадае з наяўнай у file.txt, то гэты файл ня быў зьменены з моманту апошняй праверкі. Аб цэласнасці кажа пазнака цэлы насупраць файла.



Проверка суммы sha256sum

Вядома, гэта не дапаможа вам абараніць сервер, але акажа дадатковую дапамогу ў пошуку слядоў прысутнасці хакераў.

А апроч sha256 можна выкарыстоўваць любы іншы алгарытм: md5, sha512, sha1, sha384.



Як вы ацэніце артыкул?
Звёзд: 1Звёзд: 2Звёзд: 3Звёзд: 4Звёзд: 5 (1 адзнак, сярэдняе: 5,00 з 5)
Загрузка ...

Дадаць каментар

Ваш e-mail не будзе апублікаваны.