Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Режим отображения отдельной подветви беседы		[ Отслеживать ]

Выявлены два ботнета, созданные из серверов на базе Linux, opennews (?), 03-Сен-14, (0) [смотреть все] ага, как всегда, ничего не работает у локалхоста, ботнета нет, IMHO (?), 23:33 , 03-Сен-14, (1) +3 // неа, не так как всегда, всё работает у крютого ытырпраса, включая ботнеты и щёчк, ананим (?), 13:35 , 04-Сен-14, (82) +2 один серыйдругой белыйдва весёлых ботнета, бедный буратино (ok), 23:55 , 03-Сен-14, (2) –5 elasticsearch торчащий наружу этопять , lsd (??), 00:05 , 04-Сен-14, (3) +12 // Если посмотреть по ссылке, то там не Elasticsearch, а logstash , Аноним (-), 10:28 , 04-Сен-14, (42) Эээ Как проверить сервера если зловреда не поленятся спрятать Когда код открыт, Аноним (-), 00:06 , 04-Сен-14, (4) // cd md5sum -c var lib dpkg info md5sums , lsd (??), 00:16 , 04-Сен-14, (5) +1 // rpm -Va, xakru (?), 01:18 , 04-Сен-14, (10) +1 // А rpm по вашему нельзя пропатчить Руткиты всегда стараются отгородить админа от, none7 (ok), 06:09 , 04-Сен-14, (19) +3 А ты видел хоть один вирус который патчил rpm для того что бы верификация не ото, zamir (??), 09:56 , 04-Сен-14, (34) А с чего вы взяли что зловред правильные данные не подсунет Техника стара как м, Аноним (-), 11:04 , 04-Сен-14, (49) Учитывая разнообразие используемых в разных дистрах версий RPM в отличие от DEB, Аноним (-), 12:19 , 04-Сен-14, (73) –1 А зачем заменять RPM Достаточно врать на предмет отсутствия скрываемых файлов и, Аноним (-), 15:29 , 04-Сен-14, (89) –1 тю ежели оно рут 8212 засунуть свою библиотеку в etc ld so preload нет ника, arisu (ok), 17:05 , 04-Сен-14, (113) +1 А не наплевать ли взломщику на версии чего бы там ни было, если он всё равно обё, freehck (ok), 18:34 , 04-Сен-14, (121) Сабж прорвался к рут правам, например Следовательно, вытаскиваем диск и сравнив, Аноним (-), 11:29 , 04-Сен-14, (53) tripwire , flvby1 (?), 09:57 , 04-Сен-14, (35) Закрытая проприетарь И не панацея Ты ее видел , Анооооним (?), 11:26 , 04-Сен-14, (52) aide Видел, пользуюсь , Аноним (-), 12:33 , 04-Сен-14, (74) http sourceforge net projects tripwire GPL v2использую работает , Аноним (-), 21:59 , 09-Сен-14, (168) Welcome to OpenSource World За заменить его прозрачно , Google платит до 3 14, pavlinux (ok), 00:18 , 04-Сен-14, (6) –3 1 Ломали явно веб сервера До рута дело не дошло 2 apt-cache show debsumsDescr, rshadow (ok), 01:04 , 04-Сен-14, (8) –2 // Конечно не дошло, теперь ведь каждый может писать в boot , Аноним (-), 01:23 , 04-Сен-14, (11) +12 // Пардон Действительно, не заметил про файлы По ссылке не написано как рут получ, rshadow (ok), 02:37 , 04-Сен-14, (14) а это очень важно когда там крайняя новость была об очередном патче закрывающем, тигар (ok), 07:36 , 04-Сен-14, (22) Да в твоей фряхе тоже ассортимент уязвимостей имеется И не ты ли хвастался что , Аноним (-), 12:01 , 04-Сен-14, (62) если бы ты читал внимательно или тренировал память заранее то помнил бы, что р, тигар (ok), 16:02 , 04-Сен-14, (99) +1 Я про подъем прав - такого и в твоей любимой фряхе недавно пролетало А судя по , Аноним (-), 19:47 , 04-Сен-14, (124) +1 ЧСХ, руткиты и тому подобные фокусы работают и в закрытых системах Если систему, Аноним (-), 09:12 , 04-Сен-14, (27) +1 // Ну да, надо гасить сервак и проверять на другой системе Собственно, в открытых , Аноним (-), 11:32 , 04-Сен-14, (56) // Перераскатать систему с нуля Или откат на заведомо исправный снапшот, если у ва, Аноним (-), 12:07 , 04-Сен-14, (66) +1 на все 100 - да никак Обычно просто выводят сервер из боя, сливают данные и пер, XoRe (ok), 16:06 , 04-Сен-14, (104) +1 После настройки чистой системы сразу ставь rkhunter, и отслеживай любые изменени, EuPhobos (ok), 19:12 , 04-Сен-14, (122) А мне говорили, что вирусов на линуксе нет Видимо, наврали , Celcion (ok), 00:56 , 04-Сен-14, (7) –13 // Так ведь дураков для запуска албанских вирусов хватает везде , Зевака (?), 01:09 , 04-Сен-14, (9) +2 Это не вирус Это хакерская атака Когда миллионы компов заражаются автоматическ, Аноним (-), 01:35 , 04-Сен-14, (12) +3 // Хакерские атаки давно уже автоматизируются man metasploit, Аноним (-), 05:22 , 04-Сен-14, (17) +1 // Глюкавая cpaнь на руби Работает через раз даже на заведомо дырявых системах , Аноним (-), 11:06 , 04-Сен-14, (50) А, ну тогда, конечно, все в порядке , Celcion (ok), 17:07 , 04-Сен-14, (114) А вы пробовали рабочее домашнее ПК место спиртовой салфеткой протирать , _KUL (ok), 02:23 , 04-Сен-14, (13) +3 Это заговор Всё пропало , Аноним (-), 03:05 , 04-Сен-14, (15) Не то чтобы наврали Просто линупсные фанатики искренне верят во всякие глупости, Нанобот (ok), 08:18 , 04-Сен-14, (25) –5 // Чтобы ваша информация соответствовала действительности, неплохо бы напомнить, чт, тоже Аноним (ok), 08:51 , 04-Сен-14, (26) +4 // Кое-кто счтитае всех, кто видит какие-то недостатки в линуксах пропагандистами М, Аноним (-), 11:37 , 04-Сен-14, (57) –2 А где это бот говорил про недостатки линуксов Речь была о недостатках линуксоидо, тоже Аноним (ok), 12:00 , 04-Сен-14, (61) Рекомендую почитать ответы на мой изначальный пост и задуматься - а надо ли изо, Celcion (ok), 12:09 , 04-Сен-14, (68) –2 Вы из себя старательно изображаете титана мысли, не иначе , Аноним (-), 15:30 , 04-Сен-14, (90) +1 Зачем С учетом местной детворы, старательно пишущей изобличительные отповеди в , Celcion (ok), 16:27 , 04-Сен-14, (112) –2 Просто от шутливых подколок из репертуара хорошо известной здесь труппы клоун, тоже Аноним (ok), 17:13 , 04-Сен-14, (116) +1 Я просто всегда с усмешкой относился к людям, которые себя слишком всерьез воспр, Celcion (ok), 17:32 , 04-Сен-14, (118) –3 Вы, конечно, можете хоть ухохотаться от окружающих, но если люди не улыбаются ва, тоже Аноним (ok), 19:56 , 04-Сен-14, (127) +1 Самоирония - хорошее качество Ухохатываться над окружающими можно лишь если они, Celcion (ok), 23:10 , 04-Сен-14, (139) –1 И тут мне почему-то вспомнилась карикатурка страус с бейджиком Инструктор по п, тоже Аноним (ok), 08:42 , 05-Сен-14, (144) +1 О, круто Теперь я и ваш возраст знаю примерно Шкoлoлo на марше Только такие м, Аноним (-), 19:50 , 04-Сен-14, (125) +1 Ты раскрыл меня - , Celcion (ok), 23:06 , 04-Сен-14, (138) –1 Наверное, потому что в сабжевой новости - про недостатки вебни и админов А в че, Аноним (-), 12:08 , 04-Сен-14, (67) +1 Вопрос в прикольных двойных стандартах Если на непатченной проприетарной систем, Celcion (ok), 12:18 , 04-Сен-14, (72) Всё верно, если мс не прислал патч 8212 виноват мс, а если админ не накатил с, ызусефещк (?), 13:04 , 04-Сен-14, (78) Комментаторы справедливо указывают на реальные причины проблем - кривые возможн, тоже Аноним (ok), 13:07 , 04-Сен-14, (79) То есть, исходя из предположений, тут уже ставятся справедливые диагнозы чему-, Celcion (ok), 13:22 , 04-Сен-14, (81) В закрытых системах тоже удары мочи нередки, но при этом поддерживается и легаси, тоже Аноним (ok), 13:35 , 04-Сен-14, (83) напомните - как debian сопротивлялся новому systemd, и как это пропихивали подта, Аноним (-), 15:39 , 04-Сен-14, (92) Ну что значит - подтасовывая Каких представителей выбрали - такое голосование и, Аноним (-), 15:46 , 04-Сен-14, (95) –2 Сначала думал тебе предложить обосновать высказывание про виндузоида, либо объяв, Celcion (ok), 16:23 , 04-Сен-14, (110) –1 http wiki opennet ru title MSSP, клоун (?), 18:07 , 04-Сен-14, (119) –1 Ого, наш пиар-бот стал самодокументирующимся Нифига себе Может, Шигорин был п, Аноним (-), 19:52 , 04-Сен-14, (126) +1 А чего обосновывать то Я достаточно долго тебя тут вижу и запомнил фрукта котор, Аноним (-), 20:09 , 04-Сен-14, (129) +1 Ну, то, что над глупой детворой я тут периодически потешаюсь - это правда, не ст, Celcion (ok), 23:02 , 04-Сен-14, (137) –1 Ну вот смотри, нвидия в очередной версии драйвера отпилила лишние мониторы Ос, Аноним (-), 15:39 , 04-Сен-14, (93) Нет, вам просто пора избавиться от излишне ассоциативного мышления и делить все , Celcion (ok), 16:19 , 04-Сен-14, (109) –2 Не говорите мне что делать - и я не скажу куда вам пойти Я могу грубо прикинуть, Аноним (-), 20:14 , 04-Сен-14, (130) –1 Анонимные прикидывания моего IQ - это сильно Кто ты, о великий анонимный мудрец, Celcion (ok), 22:33 , 04-Сен-14, (135) –1 А какая разница, анонимные они или нет На величину IQ это не влияет Если тебе т, Аноним (-), 16:15 , 06-Сен-14, (162) +1 А где проприетарным системам предъявляют за кривой софт Им предъявляли за то чт, Аноним (-), 15:32 , 04-Сен-14, (91) И в моём реальном тоже Заберите их в виртуальный мир пропаганды MS, ну пожа-, Аноним (-), 03:24 , 05-Сен-14, (141) Если вирусяка прорубается через дырявую вебню - там в общем все-равно какая сист, Аноним (-), 09:16 , 04-Сен-14, (28) –2 // Всё-таки смотреть на то, что пишут люди без чувства юмора которое с лихвой комп, Аноним (-), 03:35 , 05-Сен-14, (142) Как всегда, приятно смотреть на полное отсутствие самоиронии и чувства юмора у л, Celcion (ok), 12:06 , 04-Сен-14, (65) –2 // Самые блестящие победы мы всегда одерживаем над воображаемым противником Главн, тоже Аноним (ok), 13:09 , 04-Сен-14, (80) +3 Да их и на винде уже давно не видно Давно уже не натыкался на настоящий вирус Та, XoRe (ok), 16:13 , 04-Сен-14, (108) // В частности, поэтому свежекупленные ноутбуки обычно до такой степени заряжены , тоже Аноним (ok), 17:11 , 04-Сен-14, (115) // Ну, вы же хотите ноутбук за приемлемые деньги Приходится изыскивать дополнитель, Celcion (ok), 17:26 , 04-Сен-14, (117) –2 Чтобы понять всю бредовость этой гипотезы, достаточно посмотреть на цену того же, тоже Аноним (ok), 20:01 , 04-Сен-14, (128) +2 Да, конечно Накрутить 200 маржи - слишком мало Вот 220 - это да, если насова, Аноним (-), 20:18 , 04-Сен-14, (131) 200 маржи Вы уверены, что вообще понимаете о чем говорите Последние годы марж, Celcion (ok), 22:45 , 04-Сен-14, (136) –1 Небольшое уточнение, вы маржу по конечному сборщику считаете или по цепочке цели, Аноним (145), 09:28 , 05-Сен-14, (145) Подозреваю, что она считается по жалобам какого-нибудь Асера дескать, и прилавк, тоже Аноним (ok), 09:32 , 05-Сен-14, (147) +1 Вы, хотя бы ради приличия, почитайте хоть что-нибудь по теме Скажем, первое, что, Celcion (ok), 17:02 , 05-Сен-14, (158) –1 Выбора особо нет, т к большая часть более-менее нормального железа не продаётся, Аноним (145), 09:42 , 05-Сен-14, (149) возвращаешь винду, забираешь деньги тем, кто деньги за винду возвращать не хотя, arisu (ok), 13:59 , 05-Сен-14, (152) +1 Прописные истины Только под NoWindows я понимал ещё и работает под NoWindows с, Аноним (145), 14:19 , 05-Сен-14, (154) пожимает плечами извини, рекомендации по тому, какой именно ложкой жрать говно, arisu (ok), 14:28 , 05-Сен-14, (155) +1 Скорее, они нашли рынок с более высокой маржой - смарты и планшеты Странно, чего, Аноним (-), 16:31 , 06-Сен-14, (163) –1 Она там уже давно не такая уж и большая Просто рынок пока еще на подъеме Потому, Celcion (ok), 19:20 , 06-Сен-14, (166) –1 А мне говорили наоборот Только ни одного не показали, чтобы 1 скомпилировался,, 888 (?), 09:56 , 05-Сен-14, (151) +3 // Предлагаю вам в той же википедии посмотреть что такое сарказм Ну, так, на вся, Celcion (ok), 17:16 , 05-Сен-14, (160) –1 // В вашем высказывании только насмешка, а не сарказм Из-за непонимания этого вы и, 888 (?), 19:15 , 06-Сен-14, (165) +1 Неужели вы правда считаете, что я вообще на это обращаю внимание Представьте, чт, Celcion (ok), 19:26 , 06-Сен-14, (167) –1 Где взять антивирус , Антоним (ok), 04:09 , 04-Сен-14, (16) –4 // Ждём следующий вопрос - Где взять голову с работающими мозгами , greenman (ok), 05:40 , 04-Сен-14, (18) +3 В цивилизованном мире это называется своевременные обновления В новости как раз, Аноним (-), 06:18 , 04-Сен-14, (20) +1 // С другой стороны обновления по безопасности обычно выходят уже после того как ды, Аноним (145), 09:18 , 04-Сен-14, (29) –2 // А от момента как ее нашли до момента массового появления боевых самоходных тулзе, Аноним (-), 09:30 , 04-Сен-14, (33) +1 Уволить админа и нанять нормального Эффективнее в 100 раз, ибо если у вас непат, Аноним (-), 09:24 , 04-Сен-14, (30) Что опять ну до каких пор это х ня будет твориться в линуксе же открытый , Адекват (ok), 07:21 , 04-Сен-14, (21) // Смысла нет, можно проверить контрольные суммы бинарей Трудозатрат больше, резул, Аноним (-), 08:17 , 04-Сен-14, (24) +1 // А кто сказал что читаться будет именно тот файл что вы поппросили Где гарантии , Аноним (-), 10:14 , 04-Сен-14, (39) // Так и это грамотный сисадмин сможет проверить, просто средствами сторонней машин, Аноним (-), 11:57 , 04-Сен-14, (60) Можно и той же С readonly носителя типа ливфлехи ливцд Поэтому энтерпрайзники н, Аноним (-), 12:15 , 04-Сен-14, (69) Ну я, вообще, имел в виду писателей вредоносов - раз у них и без создания руткит, Аноним (-), 12:50 , 04-Сен-14, (76) Ну так поэтому половина дряни и являет собой весьма примитивные экспонаты Смысл, Аноним (-), 15:49 , 04-Сен-14, (96) Нормальный подход для эффективного перехвата вызовов - LD_PRELOAD или ядерный мо, Аноним (-), 10:13 , 04-Сен-14, (38)   // Могут, почему же Но ведь LD_PRELOAD кто-то же должен PRELOAD А как это сделать, Аноним (-), 12:35 , 04-Сен-14, (75)   // Его делает загрузчик динамических библиотек LD_PRELOAD не требует рута Оно прек, Аноним (-), 15:57 , 04-Сен-14, (97)   вообще-то запуск процессов с LD_PRELOAD - палевно типа так ps -axewww 124 gre, Нанобот (ok), 12:54 , 04-Сен-14, (77) –1   Ke , Anonymous528 (?), 10:36 , 04-Сен-14, (44) Работает Вот и не трогай , Аноним (-), 10:39 , 04-Сен-14, (45) а повод для проверки какой будет Для того, чтобы сделать то что описано в стаье, Адекват (ok), 09:25 , 04-Сен-14, (31) // cron же И aide, tiger, tripwire, chkrootkit и пр писатели писем админу в нём , Andrey Mitrofanov (?), 10:17 , 04-Сен-14, (41) т е во всем виновата JAVA - т к Apache Struts, Apache Tomcat и Elasticsearch э, Аноним (-), 09:26 , 04-Сен-14, (32) +2 // Из чащи раздавались истошные рыдания ай3ЕНа , Andrey Mitrofanov (?), 10:04 , 04-Сен-14, (36) +2 // Logstash на руби Хотя тоже скрипткидизы по типу тызена , Аноним (-), 12:17 , 04-Сен-14, (70) Угу, где-то в начале лета ловил я IptabLes Брутфорсили ssh по юзерам root, adm, Некто (??), 10:08 , 04-Сен-14, (37) // Ну то-есть ты хочешь сказать, что у тебя были словарные пароли Ай-яй-яй, палишь, Аноним (-), 10:16 , 04-Сен-14, (40) // Ну не совсем словарные В lib была куча файлов с опробованными IP, логинами , Некто (??), 10:36 , 04-Сен-14, (43) // За это обожми 16 патч-кордов и перенастрой коммутатор 2 раза , Anonymous528 (?), 10:50 , 04-Сен-14, (47) +4 Да вы пацифист прямо Если у админа рутовый пароль брутом подбирают - ему надо 5, Аноним (-), 11:12 , 04-Сен-14, (51) +2 Хм Брутом подбирают всё Пусть долго и нудно, но тупейший перебор рано или по, Некто (??), 15:44 , 04-Сен-14, (94) Вы правда не знаете про аутентификацию по ключу Подобрать там конечно тоже можно, Гентушник (ok), 16:11 , 04-Сен-14, (107) При достаточно длинном пароле, которого нет в словаре - солнце погаснет раньше ч, Аноним (-), 20:31 , 04-Сен-14, (132) У меня на одном серваке висел рутовый логин по ssh на стандартном порту 8 лет Т, Аноним (-), 10:56 , 04-Сен-14, (48) ад, Аноним (-), 12:01 , 04-Сен-14, (63) Да ладно, logrotate все стерпит Вот жрач процессора в полку при многопоточной а, Аноним (-), 16:04 , 04-Сен-14, (101) +1 Человеки предсказуемые http arstechnica com security 2013 05 how-crackers-make, Andrey Mitrofanov (?), 11:44 , 04-Сен-14, (58) побойся Торвальдса такое писать, IMHO (?), 10:42 , 04-Сен-14, (46) –1 // Не сотвори кумира , как сказано в ТВОЕМ писании , Анооооним (?), 11:30 , 04-Сен-14, (54) +1 // согласен, сгрешил, IMHO (?), 12:02 , 04-Сен-14, (64) dev sda3 on boot type ext2 ro,nodev,nosuid,noexec всегда и везде , Аноним (-), 11:32 , 04-Сен-14, (55) +1 // Мсье знает толк в некромансии , Аноним (-), 11:56 , 04-Сен-14, (59) // По идее можно хоть FAT, особенно если вам надо UEFI и вы симлинки не используете, Stellarwind (?), 14:05 , 04-Сен-14, (86) +1 // Нет слов, одни междометия , Аноним (-), 16:05 , 04-Сен-14, (102) Я сам не сталкивался еще, но я так понимаю EFI System partition должно быть в FA, Stellarwind (?), 14:51 , 05-Сен-14, (156) –1 А зачем _оно_ вообще смонтированное в загруженной ОС , Andrey Mitrofanov (?), 17:15 , 05-Сен-14, (159) +1 эт только в твоём маленьком розовом мирке у Людей же обычно ext3 rw , Нанобот (ok), 13:35 , 04-Сен-14, (84) –2 // Ext4 Ибо намного шустрее за счет экстентов, а в остальном те же яйца, вид в про, Аноним (-), 16:06 , 04-Сен-14, (103) // Экстенты особенно актуальны для содержимого boot, угу , Аноним (-), 03:48 , 05-Сен-14, (143) +1 на чтение вроде быстрее ext2 не было они же банально совместимы все, т е при ч, Аноним (145), 09:45 , 05-Сен-14, (150) –1 Ах вот ты где, Я давно тебя искал , anonymouzz (?), 13:40 , 04-Сен-14, (85) –1 Если будет внезапное отключение электричества или не дай б-г kernel panic, то по, Гентушник (ok), 16:24 , 04-Сен-14, (111) // А еще - fsck на томе размером терабайт-другой - занимает довольно много времени,, Аноним (-), 20:37 , 04-Сен-14, (134) –1 // Ну boot вряд ли кто будет делать на пару терабайт Модули устанавливаются в l, Гентушник (ok), 00:43 , 05-Сен-14, (140) Он наверно про модули, которые нужны при загрузке, их надо в initrd запаковать, , Stellarwind (?), 15:08 , 05-Сен-14, (157) Ну и пусть лежит Для ядра разницы никакой, ему смотнированная boot вообще не н, Гентушник (ok), 10:32 , 06-Сен-14, (161) наверное, оба ботнета уже на системды, V (??), 12:17 , 04-Сен-14, (71) +2 // Тоже заметил, что сканер безопасности chkrootkit стал ругаться Warning sbin, EuPhobos (ok), 19:21 , 04-Сен-14, (123) +1 Не, ждёшь такой новостей о линь ботнете который бодро чпокает хомечковые убунточ, Аноним (-), 15:08 , 04-Сен-14, (87) // А с чего вы взяли что он будет только убунточки В убунточке как раз по дефолту , Аноним (-), 16:07 , 04-Сен-14, (105) // Это вы про беспарольное sudo со всеми правами , AlexYeCu_not_logged (?), 18:11 , 04-Сен-14, (120) // Оно беспарольное только на ливцд А при установке с юзера требуют достаточно сло, Аноним (-), 20:34 , 04-Сен-14, (133) требуют достаточно сложный пароль может что-то поменялось за пол года, но во в, Аноним (145), 09:39 , 05-Сен-14, (148) вообще, если система имеет наглость кобениться при виде пароля 171 1 187 , на, arisu (ok), 14:05 , 05-Сен-14, (153) +1 Инсталлер при установке желает достаточно сложный пароль Потом его можно при же, Аноним (-), 16:35 , 06-Сен-14, (164) –1 Разве это новость Файлы IptabLes и IptabLex периодически встречаются на протя, lucentcode (ok), 15:26 , 04-Сен-14, (88) –1 // В воздухе пахло распи ством админов , Аноним (-), 16:08 , 04-Сен-14, (106) +1 1,2,3,4,7,16,21,31,32,37,55,71,87,88

Сообщения

[Сортировка по времени | RSS]

	38. "Выявлены два ботнета, созданные из серверов на базе Linux"	+/–
	Сообщение от Аноним (-), 04-Сен-14, 10:13
	> эти придурки научаться грамотно внедрятся в систему, модифицируя исполняемые файлы ? Нормальный подход для эффективного перехвата вызовов - LD_PRELOAD или ядерный модуль. И бинари патчить не надо, и любой вызов можно переколпачить. Кому для отладки и изучения, кому для втирания очков окружающим. > Ведь для этого не нужно патчить исполняемый файл, а достаточно модифцировать исходники, Учись, лох: $ LD_PRELOAD=./mylib.so /bin/bash ... $ cat /etc/passwd Process 24742 attempted to open the file: /etc/passwd cat: /etc/passwd Как видишь, я не менял ни бита в bash, и тем более не геморроился с его компилом. НО он и его потомок cat не могут пойти и открыть /etc/passwd. Потому что либа решила что нефиг. И в своей реализации open() отлупила -EPERM, хоть это и неправда :). Аналогично можно и при чтении из файла вернуть какую-нибудь требуху. То что ты посчитал чексумм - это замечательно. А кто сказал что это были вообще данные того файла который ты попросил? Ты же понимаешь, что считалке чексумм можно показывать правильный файл, а что там на самом деле по факту - ну ты понял. > потереть все логи какие только можно. Такая наглая диверсия заметна даже не очень компетентному админу. А вот упоминание себя - уважающие себя хаксоры из логов честно выпилят. > Когда научатся скрывать не только следы в виде файлов но и скрывать > процессы перехватывая системные вызовы от всяких top, netstat, who и прочего? Ну вон тебе пример с LD_PRELOAD. Любой школьник за 15 минут такую либу может написать, если не совсем тyпой. Почему эти "мегахакиpы" так не могут - не знаю. Тyпые наверное.
	Ответить | Правка | К родителю #21 | Наверх | Cообщить модератору

	75. "Выявлены два ботнета, созданные из серверов на базе Linux"	+/–
	Сообщение от Аноним (-), 04-Сен-14, 12:35
	> Ну вон тебе пример с LD_PRELOAD. Любой школьник за 15 минут такую > либу может написать, если не совсем тyпой. Почему эти "мегахакиpы" так > не могут - не знаю. Тyпые наверное. Могут, почему же. Но ведь LD_PRELOAD кто-то же должен PRELOAD. А как это сделать для root не получив права root? А если уж получили права root, то проще нужную либу прямо подменить, без всяких LD_PRELOAD. Т.о. нет особого смысла в использовании LD_PRELOAD.
	Ответить | Правка | Наверх | Cообщить модератору

	97. "Выявлены два ботнета, созданные из серверов на базе Linux"	+/–
	Сообщение от Аноним (-), 04-Сен-14, 15:57
	> Могут, почему же. Но ведь LD_PRELOAD кто-то же должен PRELOAD. Его делает загрузчик динамических библиотек. > А как это сделать для root не получив права root? LD_PRELOAD не требует рута. Оно прекрасно работает от юзера. Правда, заапгрейдить права таким макаром (впихав свою либу SUIDной программе) вам не дадут, загрузчик либ тоже не совсем дypaки писали. Но поканифолить мозг админу можно от дущи и без рутовых прав. Хотя для максимальной эффективности LD_PRELOAD разумеется эффективнее если либу глобально по всей системе подпихнуть, для этого рут уже потребуется, естественно. Если вы не заметили - в том примере все делалось от юзера, на что намекает промпт "$". > А если уж получили права root, то проще нужную либу прямо подменить, без всяких > LD_PRELOAD. Делать полновесную либу-обертку со всеми функциями, допустим, libc - геморно, знаете ли. А с LD_PRELOAD можно оверрайднуть только пару интересных функций из libc, получив много лулзов в вышеупомянутом духе, с самыми разными целями - от изучения поведения программ до маскировки чего-нибудь в системе. > Т.о. нет особого смысла в использовании LD_PRELOAD. Так он не требует прав рута, если по минимуму. Но позволяет несколько переопределить поведение программ не изменяя никаких файлов, не совсем очевидным многим админам методами.
	Ответить | Правка | Наверх | Cообщить модератору

	77. "Выявлены два ботнета, созданные из серверов на базе Linux"	–1 +/–
	Сообщение от Нанобот (ok), 04-Сен-14, 12:54
	вообще-то запуск процессов с LD_PRELOAD - палевно (типа так: ps -axewww|grep LD_PRELOAD=)
	Ответить | Правка | К родителю #38 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема