gremlintv2
@gremlintv2

Как дэтэктить metasploit reverse shell?

1) Выручит ли lsof -i?
2) Может ли данный бэкдор спалится обновленным антивирем(clamav или др.)? Если да, то каким?
3) Снорт(или другая IDS) может помочь задэтэктить бэкдор? Есть ли универсальные правила для Снорт?
4) Как в данном случае можно применить iptables(или другой fw), чтобы не в ущерб посетителям сайта заблочить подобную активность?
5) Выручит ли в данном случе SElinux?
6) как подобную активность можно спалить через процессы?
Спасибо!
PS: Гуглил.. Искал... Но впечатления от прочитанного расплавчатые - одни радуются, что создали undetectable malware, другие предлагают какие-то танцы с бубном вокруг tcpdump и фильтрации трафа по сигнатурам, похожую историю предлагают и в случае со Снорт... ИМХО: Помойму бред. Что можете на своем опыте посоветовать?
  • Вопрос задан
  • 186 просмотров
Решения вопроса 1
@remzalp
Программер чего попало на чем попало
По дешману - не получится.

Варианты:
1. Доскональный шмон трафика с помощью систем, анализирующих потроха пакетов и поднимающие тревогу при любых отклонениях.
За копанию это подразумевает требование расшифровывать любой https трафик, то есть еще та немного веселая задачка. Если трафик не удалось расшифровать или внутри не то, что ожидалось - РЕЗАТЬ.
Очень дорогой вариант. Потребует железа и софта или бесплатного + крутого админа или платного и не очень крутого админа.

2. Белые списки - куда можно коннектиться.

на 6:
чаще всего это будет напоминать типичную работу системы, поэтому проблемно.
Ответ написан
Комментировать
Пригласить эксперта
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы