Исходное сообщение
"Выявлен новый rootkit для Linux, осуществляющий подстановку ..." Отправлено Аноним, 21-Ноя-12 22:39
> ..вы хоть представляете себе какое огромное количество гемороя пришлось УЖЕ решить Да никакого там особого геморроя. Гражданин исследующий этот экспонат пришел к выводу что это довольно хилая поделка, автор которой очень средне знает линуксный кернель и потому сработал довольно топорно. А былинный отказ с эханием после exit 0 :) явно подтверждает лишний раз что это создано явно не супер-про высшей квалификации. > разработчиком этого руткита, для того чтобы руткит просто начал работать? Судя по всему - автору просто пришла в бошку свежая идея и он ее влобешник реализовал. Оно даже работает. Не, идея с патчингом TCP/IP чтобы прямо там вклиниваться - свежо и нахально, не отнять. Но кроме этого - ничего такого особенного. Все руткиты ведут себя похоже в плане маскировки. > решить ещё и чуть-чуть гемороя с тем чтобы просмотреть /etc/fstab и на основании > него сделать remount -- это практически нет-ничего. Проблемки только вот в чем: 1) Вариантов монтирования разделов - туева хуча. Писать полновесный парсер который осознает как и где монтируется желаемый путь и его правильный и однозначный ремоунт - не сильно тривиально. 2) Это утяжелит троян и потенциально повысит его паливность. 3) Это лишь один из over 9000 фокусов которые может отколоть админ. Вероятность что админ отколет именно этот фокус а не 9000 иных - очень небольшая. 4) А что если админ оказался чуть более козел и допустим squashfs юзанул? Если уж ему хотелось глухое readonly - это можно. А теперь попробуйте заремаунтить... :)