From mboxrd@z Thu Jan  1 00:00:00 1970
Return-Path: <liksx@mail.ru>
Message-ID: <46CC3712.8090102@mail.ru>
Date: Wed, 22 Aug 2007 17:16:02 +0400
From: Avramenko Andrew <liksx@mail.ru>
User-Agent: Thunderbird 1.5.0.4 (X11/20060613)
MIME-Version: 1.0
To: ALT Linux sysadmin discuss <sysadmins@lists.altlinux.org>
References: <200708221713.05205.ashen@nsrz.ru>
In-Reply-To: <200708221713.05205.ashen@nsrz.ru>
Content-Type: text/plain; charset=KOI8-R; format=flowed
Content-Transfer-Encoding: 8bit
Subject: Re: [Sysadmins] osec & DoS
X-BeenThere: sysadmins@lists.altlinux.org
X-Mailman-Version: 2.1.9rc1
Precedence: list
Reply-To: ALT Linux sysadmin discuss <sysadmins@lists.altlinux.org>
List-Id: ALT Linux sysadmin discuss <sysadmins.lists.altlinux.org>
List-Unsubscribe: <https://lists.altlinux.org/mailman/listinfo/sysadmins>,
	<mailto:sysadmins-request@lists.altlinux.org?subject=unsubscribe>
List-Archive: <http://lists.altlinux.org/pipermail/sysadmins>
List-Post: <mailto:sysadmins@lists.altlinux.org>
List-Help: <mailto:sysadmins-request@lists.altlinux.org?subject=help>
List-Subscribe: <https://lists.altlinux.org/mailman/listinfo/sysadmins>,
	<mailto:sysadmins-request@lists.altlinux.org?subject=subscribe>
X-List-Received-Date: Wed, 22 Aug 2007 13:19:27 -0000
Archived-At: <http://lore.altlinux.org/sysadmins/46CC3712.8090102@mail.ru/>
List-Archive: <http://lore.altlinux.org/sysadmins/>

Алексей Шенцев пишет:
> Привет, всем!
> Предполагаю, что мой	 инет-шлюз был атакован. К сожалению osec у меня не был 
> установлен (теперь он установлен). Как можно проверить не было ли каких 
> изменений в файлах на сервере?

На эту тему есть большие мануалы. Нужно снять всю текущую информацию, 
которая может поспособствовать расследованию инциндента, вплоть до 
дампов оперативки и потом уже проверять изменения файлов, загрузившись с 
livecd. Потому что проверка файлов может быть затруднена если некоторые 
программы модифицированы. Проверку стоит начать с rpm -Va.