Я уверен, что мои SLES-11-SP3-серверы были открыты для уязвимости shellshock-security-уязвимости в течение нескольких дней, так как я не мог исправить их за это время, так как патч-сервер в нашей интрасети был сломан. :-(
Теперь я ищу способ проверить установленные пакеты на наличие модификаций, чтобы определить, были ли серверы скомпрометированы. Если это так?
Спасибо за любые чаевые. Кейт
К сожалению, это ненадежная проверка.
Умный злоумышленник не изменит файлы, принадлежащие пакетам, а установит их в другом месте.
Вам нужно будет проверить все файлы (что-то вроде tripwire), но сейчас это невозможно, поскольку у вас нет хорошей точки отсчета.
Конечно, можно проверить статус файла пакета через RPM следующим образом:
rpm -V bash
Это покажет вам, были ли какие-либо изменения в файлах, принадлежащих этому пакету.
Но, как я уже сказал, это не следует воспринимать как показатель того, что сервер не был взломан.
Эта проверка полезна только в том случае, если она говорит вам, что вы действительно были скомпрометированы.
Обратного пути нельзя доверять по вышеуказанной причине, а также потому, что двоичный файл rpm уже мог быть изменен.