Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_PRELOAD для скрытия,
opennews (ok), 10-Июн-22, (0) [смотреть все]
- Разделяемые библиотеки позволяют быстро исправлять ошибки - говорили они, не ш,
n00by (ok), 08:45 , 10-Июн-22, (1) –23 //
- ну тут дело же в полученном изначально root-доступе, а не в самом механизме дина,
Аноним (4), 08:50 , 10-Июн-22, (4) +19 //
- Дело в том, что я сейчас напишу читайте Хоглунда , а эксперты по руткитам полез,
n00by (ok), 08:55 , 10-Июн-22, (6) +4 //
- Я эксперт, только что вернулся из поисковика При чём тут хоккей ,
Аноним (56), 12:41 , 10-Июн-22, (56) +7
- Однофамилец того хоккеиста написал книжку про руткиты Описал решаемые ими задач,
n00by (ok), 13:00 , 10-Июн-22, (61) +3
- В тему ,
Аноним (-), 17:54 , 10-Июн-22, (100) +1
- Это что, для маздая Очень тематично пля, мне очень интересно как гадить в NTшны,
Аноним (-), 18:38 , 10-Июн-22, (102) –1
- p s я буду рефрешить коменты до ответа Я буду рефрешить коменты до ответа Я б,
Аноним (-), 18:39 , 10-Июн-22, (103) +2
- Ответа кому Смысл вести с вами дискуссии На что вы, господа безымянные теорети,
n00by (ok), 09:52 , 11-Июн-22, (127)
- Может, это те ребята, которые пишут Dow do I wrote root kit for Linux на Stac,
InuYasha (??), 10:22 , 11-Июн-22, (131) +1
- Понимаешь, человек, от ТЕБЯ много СПАМА Бесполезного и или офтопичного Ты спам,
Аноним (-), 19:46 , 11-Июн-22, (168)
- А не наоборот Впрочем в линуксе всё прекрасно тут вам и разделяемые библиотеки,
Аноним (38), 11:43 , 10-Июн-22, (38) –2 //
- Unix way - одна программа не обсуждается в ветке хорошо получает рут доступ, д,
n00by (ok), 12:02 , 10-Июн-22, (46) +5
- Пакетный менеджер имеет свои плюсы Допустим в zlib нашли баг Я поставил патчен,
Аноним (-), 21:21 , 10-Июн-22, (109)
- Исправил, не благодари,
Аноним (-), 01:56 , 11-Июн-22, (125) –2
- Об этом должен беспокоиться разработчик конкретной программы, а не разработчик О,
Аноним (38), 09:55 , 11-Июн-22, (128) +1
- Единое окружение операционной системы собирает разработчик ОС, а не автор конкре,
Аноним (141), 12:03 , 11-Июн-22, (141)
- Вот поэтому самая правильная схема -- ОС отдельно, программы отдельно ,
Аноним (38), 12:23 , 11-Июн-22, (144) +3
- В этом месте возникает конфликт интересов Есть специальный человек - майнтайнер,
n00by (ok), 16:14 , 11-Июн-22, (152)
- Дистрибутив AltMinixZverBD отдельно,
Аноним (-), 17:33 , 11-Июн-22, (157)
- Не, спасибо, я видел как это в маздае работает Крайним почему-то я оказываюсь, ,
Аноним (-), 20:07 , 11-Июн-22, (172)
- Ну не знаю По-моему ситуация когда пользовательские приложения делят либы с о,
Аноним (38), 21:09 , 11-Июн-22, (175) +1
- А по моему 1 В моем случае деление на систему и пользовательские приложени,
Аноним (-), 03:16 , 12-Июн-22, (181)
- А остальной код вы проверили, вдруг в других местах тоже есть уязвимости Запуск,
Аноним (38), 14:07 , 12-Июн-22, (196)
- Заменив либу на фикшеную, можно ВСЁ поломать Классно поменяли ,
Neon (??), 03:42 , 13-Июн-22, (203) +2
- Поздравляю, ты изобрел FreeBSD с ее делением на distributions и ports,
Аноним (220), 20:31 , 13-Июн-22, (221)
- Спасибо, теперь я понял эти постоянные нападки на BSD В GNU Linux именно свобод,
n00by (ok), 08:10 , 14-Июн-22, (226)
- За что, среди прочего, фряху и люблю Есть минимальный набор из загрузчика, ядра,
Аноним (-), 17:26 , 14-Июн-22, (228)
- Что бы что-то перехватить в монолитном исполняемом файле, врезать инструкции пер,
n00by (ok), 17:55 , 14-Июн-22, (230)
- Проблема в том что в результате 1 Все отдано на откуп легиону каких-то раздолба,
Аноним (-), 20:04 , 11-Июн-22, (171)
- А еще злодей может имя файла использовать левое, название процесса непаливное на,
Аноним (-), 18:42 , 10-Июн-22, (104) +1
- Жаль, что не получается составить список экспертов Стесняются отметиться явно ,
n00by (ok), 10:21 , 10-Июн-22, (12) //
- busybox,
Аноним (-), 11:02 , 10-Июн-22, (19) //
- Ход мыслей правилен, но уровень абстракции не тот См ldd which busybox ,
n00by (ok), 11:27 , 10-Июн-22, (26)
- Статически слинкован, например с каким-нибудь экзотическим libc, который в добав,
Аноним (-), 11:31 , 10-Июн-22, (30) +2
- Да, это решение Но фанаты не одобряют ,
n00by (ok), 11:36 , 10-Июн-22, (32) +1
- Это решение только проблемы с LD_PRELOAD А злоумышленник с рутом так и сидит в ,
Аноним (-), 11:41 , 10-Июн-22, (36) +2
- Что и обсуждается в данной ветке ,
n00by (ok), 11:57 , 10-Июн-22, (42)
- В какой, в которой ключи ищут ,
Аноним (-), 12:14 , 10-Июн-22, (50)
- В ветке, которая началась с моего сообщения 8470 1 Оно так понравилось экспер,
n00by (ok), 12:22 , 10-Июн-22, (53)
- Если обсуждают, что угодно, то изначальный тезис противоречивый, то есть троллин,
Аноним (-), 12:35 , 10-Июн-22, (55)
- Противоречий в тезисе нет Цитата в кавычках верна, проблема с ошибками в библ,
n00by (ok), 13:02 , 10-Июн-22, (62) –1
- Вопросов больше не имею,
Аноним (-), 13:30 , 10-Июн-22, (70)
- Вот и не надо зафлуживать ветку, если сказать по сути нечего Затроллили его, бе,
n00by (ok), 13:38 , 10-Июн-22, (72) –1
- А если разрешать подгрузку только таких библиотек, у которых есть цифровая подпи,
Аноним (20), 11:04 , 10-Июн-22, (20)
//
- Что мешает подписать, если уже есть root-доступ ,
Аноним (-), 11:09 , 10-Июн-22, (21) +1
- Так подписи будет раздавать RHBM ,
n00by (ok), 11:15 , 10-Июн-22, (22) +2
- Не знаю кто это, но проверять тоже он будет или система, в которой кто-то шаритс,
Аноним (-), 11:21 , 10-Июн-22, (23) +1
- Куда именно добавил ,
n00by (ok), 11:24 , 10-Июн-22, (24)
- В систему, которая проверяет ,
Аноним (-), 11:26 , 10-Июн-22, (25)
- Куда именно в систему, которая проверяет ,
n00by (ok), 11:28 , 10-Июн-22, (27)
- Куда надо Конкретика должна исходить от того, кто предложил способ защиты злоум,
Аноним (-), 11:39 , 10-Июн-22, (35)
- Защищающийся должен защитить систему Атакующему он ничего не должен ,
n00by (ok), 11:58 , 10-Июн-22, (43)
- Какой из пользователей с UID 0 защитник, какой - атакующий ,
Аноним (-), 12:01 , 10-Июн-22, (45)
- Ищите ключи ,
n00by (ok), 12:04 , 10-Июн-22, (47)
- К кому запрос, к пользователю - защитнику или атакующему, который нашел ключ , ,
Аноним (-), 12:12 , 10-Июн-22, (49)
- Я понимаю, что ключ пока никто не нашёл Совсем нет вариантов ,
n00by (ok), 12:20 , 10-Июн-22, (52)
- Злоумышленник с рутом - это кто Тот, кто не нашел ключ Пока нет конкретики, т,
Аноним (-), 12:30 , 10-Июн-22, (54)
- Вопрос в 8470 21 Что мешает подписать, если уже есть root-доступ Предложен ,
n00by (ok), 13:08 , 10-Июн-22, (63)
- Хочешь сказать, ключей в системе нет Внесистемные инструменты Хотя, что мешает ,
Аноним (-), 13:27 , 10-Июн-22, (69)
- Социальная инженерия не работает Не нашли ключи, не подписали, закрепиться пред,
n00by (ok), 13:41 , 10-Июн-22, (74)
- Еще один верный тезис Интересно, как в систему попали Защищающийся должен дока,
Аноним (-), 14:05 , 10-Июн-22, (77)
- Кто Вы Нафантазировали, что куда-то попали На этом фантазия закончилась Мне н,
n00by (ok), 15:12 , 10-Июн-22, (82)
- Потому что ты оффтопщик - админ подкроватного IIS-сервера, который сам не знает ,
Аноним (146), 12:59 , 11-Июн-22, (146)
- Нет, ты не угадал, у меня нет IIS-сервера под кроватью Сначала расскажи, почему ,
n00by (ok), 13:33 , 11-Июн-22, (147)
- Что мне находить Отключение integrity, когда у меня есть рут Прописывание в за,
Аноним (-), 14:01 , 11-Июн-22, (148)
- Теряешь контекст Требовал конкретику У меня она есть и давно в виде кода К да,
n00by (ok), 15:57 , 11-Июн-22, (151)
- Это ты давно потерял контекст Раздул проблему LD_PRELOAD до размеров слона Ты,
Аноним (-), 16:55 , 11-Июн-22, (153)
- Ты не проблема вовсе Если ты не готов к конструктивному диалогу по вопросу LD_P,
n00by (ok), 18:50 , 11-Июн-22, (158)
- Какой конструктив, если ты не даешь никакой конкретики Вместо этого скачешь то ,
Аноним (-), 19:03 , 11-Июн-22, (161)
- Успокойся уже Сделай 10 вдохов Сделал Теперь читай дальше В 8470 21 ты соб,
n00by (ok), 19:15 , 11-Июн-22, (163)
- Руткит - это кит , который работает как рут С точки зрения системы ничем не ,
Аноним (-), 19:37 , 11-Июн-22, (167)
- Аноним - это им я , которого нет С точки зрения системы у твоего мнения не,
n00by (ok), 12:08 , 12-Июн-22, (188)
- Пока-что я сам себе подписи на кернельные модули раздаю А в чем проблема так же,
Аноним (-), 18:43 , 10-Июн-22, (105)
- А кто будет проверять контролера ,
Neon (??), 03:45 , 13-Июн-22, (204)
- Подписывают на отдельном хосте, не подключенном к сети с рутуемыми серверами ,
Аноним (28), 11:28 , 10-Июн-22, (28) +2
- Да, это один из вариантов Но надо понимать, что в прошлый раз в итоге развития ,
n00by (ok), 11:29 , 10-Июн-22, (29) +1
- Предлагаешь отключить _dl_map_object_deps всем-всем-всем из юзерспейса с сискол,
InuYasha (??), 10:51 , 11-Июн-22, (137) //
- Строго говоря, замена одной неисправной библиотечки не является уязвимостью, ЕСЛ,
Аристарх (??), 12:54 , 10-Июн-22, (60) –3 //
- Торвальдс написал ядро Здесь обсуждается механизм в пространстве пользователя ,
n00by (ok), 13:11 , 10-Июн-22, (66) +4 //
- Только в пространстве пользователя, любой пользователь полностью изолирован от в,
Аноним (-), 13:40 , 10-Июн-22, (73)
- Самое удивительное, что руткит при этом не подгузится ,
n00by (ok), 13:47 , 10-Июн-22, (75)
- Как догадался, получил дамп выполненных в ring0 инструкций, проанализировал на в,
Аноним (-), 14:16 , 10-Июн-22, (78) –1
- Бывает Продолжайте собирать пакетики ,
n00by (ok), 15:11 , 10-Июн-22, (81)
- И что там надо увидеть То что, если поменять логику glibc, то glibc ведет себ,
Аноним (146), 15:30 , 10-Июн-22, (83)
- С какой конкретно целью Вы пытаетесь произвести подмену предмета обсуждения в ве,
n00by (ok), 15:43 , 10-Июн-22, (85)
- Если есть рут доступ, можно подменить вызовы glibc своим механизмом LD_PRELOA,
Аноним (-), 15:58 , 10-Июн-22, (87)
- То есть цель озвучить не можете, но хотите пофлудить о сферическом коне в вакуум,
n00by (ok), 16:16 , 10-Июн-22, (92)
- Продолжай скакать с ветки на ветку, обвиняя Вы пытаетесь произвести подмену пре,
Аноним (-), 16:33 , 10-Июн-22, (94)
- Зер гуд, Вольдемар Я, я, дас штиммт Тебе полагается тёплый суп ,
n00by (ok), 10:20 , 11-Июн-22, (130)
- Может, ещё книжку для укладки на энтер услужливо подсовывающий Торвальдс не обид,
Michael Shigorin (ok), 21:23 , 10-Июн-22, (110) +1
- Да, позволяют Это ты смотрю не шибко понимаешь что такое разделяемые библиотеки ,
Аноним (90), 16:01 , 10-Июн-22, (90) //
- А таки позволяют И еще обеспечивают code reuse Мсье вероятно фанат игогошных б,
Аноним (-), 18:35 , 10-Июн-22, (101) +1 //
- Некоторые, кстати, троянят procps, но не psmisc ,
Michael Shigorin (ok), 21:24 , 10-Июн-22, (111) //
- Мсье, очевидно, теоретик У меня на Си std cout хелловорлд получался в ,
n00by (ok), 10:26 , 11-Июн-22, (132) +1 //
- ldd покажешь ,
Аноним (-), 17:09 , 11-Июн-22, (156)
- Она не понимает PE COFF ,
n00by (ok), 18:54 , 11-Июн-22, (159)
- В тему ,
Аноним (-), 19:12 , 11-Июн-22, (162)
- Ещё бы Ведь это _у_тебя_ исполняемый файл 6 гигабайт и масса руткитов закрепляе,
n00by (ok), 19:20 , 11-Июн-22, (165)
- Ты не виляй хвостом, показывай импорты и экспорты или как у там у вас оффтопщико,
Аноним (-), 20:01 , 11-Июн-22, (170)
- Зачем я буду что-то тебе показывать У меня нет давно Венды как и того экзешника,
n00by (ok), 12:12 , 12-Июн-22, (189)
- Может ты сперва напишешь привет мир используя именно std cout , потом будешь,
Аноним (146), 12:48 , 12-Июн-22, (193)
- Может ты внимательно прочтёшь 8470 132 У меня на Си std cout хелловорл,
n00by (ok), 13:17 , 12-Июн-22, (194)
- Типичный оффтопщик, который пришел в тему про linux, и понтуется, что читал оффт,
Аноним (146), 13:37 , 12-Июн-22, (195)
- Рекомендую тебе вести себя крайне осторожно, особенно с оценками, пока ты не осо,
n00by (ok), 14:42 , 12-Июн-22, (197)
- Оценщик об оценках Держишь уровень ,
Аноним (146), 15:41 , 12-Июн-22, (198)
- Напоминаю, в 8470 101 ты описал свой маня-мирок, в котором хелловорлд весит 6,
n00by (ok), 08:21 , 13-Июн-22, (208)
- Ты, давай, показывай свой привет с использованием include iostream , котор,
Аноним (146), 09:09 , 13-Июн-22, (210)
- Ты мог бы уже сам найти, если бы умел немножко покликать мышкой и читать исходни,
n00by (ok), 09:38 , 13-Июн-22, (212)
- Это std или поделка студента , который залез в namespace std Разве это не т,
Аноним (146), 10:40 , 13-Июн-22, (213)
- Почему ты решил, что я буду объяснять тебе, что такое стандартная библиотека Си ,
n00by (ok), 11:20 , 13-Июн-22, (214)
- Потому что ты не знаешь, что такое стандартная библиотека Си Нельзя залезать,
Аноним (146), 11:31 , 13-Июн-22, (215)
- Что бы я начал что-то тебе объяснять, тебе следует меня заинтересовать Вот сейч,
n00by (ok), 13:19 , 13-Июн-22, (216)
- https eel is c draft namespace std 1На остальное, подтверждающее уровень, отв,
Анонин (?), 13:54 , 13-Июн-22, (217)
- Потому что ты за свои слова отвечать не способен в принципе, как уже было с под,
n00by (ok), 15:25 , 13-Июн-22, (219)
- Кстати, ты заметил, что ответил как Анонин - с н на конце Мне интересно, это ,
n00by (ok), 11:38 , 15-Июн-22, (231)
- Вот это в мире ненавистной Венды называется нубкит поскольку там перехват сис,
n00by (ok), 08:47 , 10-Июн-22, (2) +5 //
- А не системные вызовы ,
Аноним (28), 11:34 , 10-Июн-22, (31) //
- диэлэл-хайджакин это называется в венде ,
Big Robert TheTables (?), 11:57 , 10-Июн-22, (41) +2
- А кого интересует мир венды в котором ничерта толком не работает А дизайн с деф,
Аноним (90), 16:00 , 10-Июн-22, (89) –1 //
- Да что там окна, попробуйте хотя бы инъекцию dll по Рихтеру сделать, что бы скры,
n00by (ok), 16:03 , 10-Июн-22, (91) //
- Цвет рамок окон, конечно, имеет прямейшее отношение к дискуссии ,
Аноним (96), 17:20 , 10-Июн-22, (96) +3
- Поставь себе третьегном, не мучайся ,
Аноним (-), 00:58 , 11-Июн-22, (122)
- Так и не поймешь, трололо или фанбой из 90х,
Аноним (227), 17:03 , 14-Июн-22, (227)
- Дальше будет только хуже ,
Аноним (3), 08:48 , 10-Июн-22, (3) –3
- А ссылка на исходники где ,
Аноним (7), 08:55 , 10-Июн-22, (7) +6 //
- когда мамкины хакепы полностью освоят ebpf, тогда линукс будет дырявее винды,
Аноним (8), 09:41 , 10-Июн-22, (8) +2 //
- Еще никогда s Штирлиц s товарищ майор не был так близко к провалу с ,
EuPhobos (ok), 09:49 , 10-Июн-22, (9) +2
- Офигенный вирус Реквестирую сырцы под копилефт лицензией ,
Аноним (11), 10:20 , 10-Июн-22, (11) +3 //
- root-доступ, который может быть получен, например, в результате эксплуатаци,
Аноним (38), 10:40 , 10-Июн-22, (17) +1
- уже ничего особенного, дыры типа как в polkit,
Аноним (71), 13:36 , 10-Июн-22, (71) +4
- Оригинально ,
Аноним (18), 10:49 , 10-Июн-22, (18) +1
- Интересно, кто бы мог это написать и для чего ещё оно используется 129300 ,
Аноним (33), 11:38 , 10-Июн-22, (33) +3 //
- Так Simbiote или Symbiote ,
Аноним (28), 11:44 , 10-Июн-22, (39) +2
- Где скачать b ,
Аноним (51), 12:18 , 10-Июн-22, (51) +1 //
- например, исключают отдельные элементы в списке процессов - вот почему бара,
Аристарх (??), 12:46 , 10-Июн-22, (57) +1 //
- Да, как грамотный подход в BSD ,
Аноним (65), 13:09 , 10-Июн-22, (65) //
- Пока кто-то не встроил свой фильтр в этот API и не оказалось, что системщик полу,
Аноним (96), 17:23 , 10-Июн-22, (97) +3
- Вы так и будете старательно доказывать, что лично Вам не натянуть даже кол нет,,
Michael Shigorin (ok), 21:31 , 10-Июн-22, (114) –1
- И каждый первый хацкер будет пытаться это апи перехватить Потому что нерушимый ,
Аноним (-), 23:13 , 10-Июн-22, (118) +1
- Скрыто модератором,
Neon (??), 03:50 , 13-Июн-22, (206) –1 //
- А вот и встроенный бэкдор ёBPF снова пригодился ,
Онаним (?), 12:48 , 10-Июн-22, (58) +3 //
- Развесистая штуковина Походу, толковые ребята писали ,
YetAnotherOnanym (ok), 13:14 , 10-Июн-22, (68) //
- хакеры не спят,
Аноним12345 (?), 13:53 , 10-Июн-22, (76)
- Хакер и солонка,
гоквч (?), 14:44 , 10-Июн-22, (79) +2
- почему никто ещё не задумался отчего такой путь обнаружен пока только в фин учре,
Аноним (84), 15:34 , 10-Июн-22, (84) //
- Как такую срань найти ,
Andy (??), 21:26 , 10-Июн-22, (112) //
- Для начала зазырить переменные окружения любым известным вам способом и если там,
Аноним (-), 23:09 , 10-Июн-22, (117) //
- Тут лучше не любым известным, а загрузив чистую систему с внешнего накопителя ,
n00by (ok), 10:47 , 11-Июн-22, (135) +1 //
- Дык при загрузке с флешки LD_Preload будет с флешкиА смотреть на всхаченной сист,
Andy (??), 15:03 , 11-Июн-22, (149) +1
- В чистой системе ,
n00by (ok), 15:52 , 11-Июн-22, (150)
- Как вариант, запустить что-либо с LD_PRELOAD и убедиться в том, что свой LD_PREL,
швондер (?), 16:57 , 11-Июн-22, (154)
- Классический способ по мотивам RootkitRevealer Руссиновича пишем приложение, ко,
n00by (ok), 10:44 , 11-Июн-22, (134) +1 //
- 1 Подписываешь чистые бинари и библиотеки 2 Запускаешь tail -f var log lo,
Аноним (232), 15:15 , 15-Июн-22, (232) //
- систему атакующий должен иметь root-доступ -- да уж,
srgazh (ok), 00:28 , 11-Июн-22, (120) //
- Дальше не читал ,
pavlinux (ok), 01:09 , 11-Июн-22, (123) +1 //
- Хорошая реклама Где мне его взять ,
microsoft (?), 08:16 , 11-Июн-22, (126) //
- неплохо,
mos87 (ok), 11:44 , 11-Июн-22, (140)
- Решил поизучать сети Поставил в Ubuntu анализатор Wireshark При первом запуске ,
У меня вопрос (?), 23:59 , 11-Июн-22, (180) +5 //
- man dumpcap не пробовали Это прога из комплекта wireshark для захвата сетевог,
Аноним (-), 03:39 , 12-Июн-22, (183) +5 //
- А я один юзер в системе, домашний комп D,
Аноним (-), 20:45 , 12-Июн-22, (200) +4 //
- Нет, ты - один из юзеров в системе, который думает, что он - Один или един ,
Аноним (146), 14:11 , 13-Июн-22, (218)
- cat etc passwd,
Аноним (220), 20:47 , 13-Июн-22, (222)
- А почему wireshark dumpcap через sudo не запускает ,
torvn77 (ok), 02:09 , 14-Июн-22, (224)
1,2,3,7,8,9,11,18,33,39,51,57,58,68,76,79,84,112,120,123,126,140,180
|
Вариант для распечатки
