| 1.1, Аноним (-), 10:32, 07/09/2016 [ответить] [﹢﹢﹢] [ · · · ] [↓] [к модератору]
| –8 +/– |
Ну всё, теперь недостаточно иметь энтерпрайс линукс со свежими обновлениями. Доверия нет ни к чему: скачаешь вот так прекомпилированный Transmission и заразился. придётся отказаться от Closed Source совсем, и всё компилять!
| | |
| |
| 2.36, IZh. (?), 13:06, 07/09/2016 [^] [^^] [^^^] [ответить] [↑] [к модератору]
| +12 +/– |
А доверенный компилятор у вас есть? ;-) А то у компилятора такой простор для встраивания руткитов в компилируемые проекты. ;-)
| | |
| |
| 3.38, Mihail Zenkov (ok), 13:19, 07/09/2016 [^] [^^] [^^^] [ответить] [к модератору]
| +9 +/– |
 И процессор к нему, а то нынче модно всякое непотребство прямо в процессор встраивать. А потом поди угадай, что он вместо твоего доверенного компилятор запустил/выполнил ;)
| | |
| |
| 4.40, IZh. (?), 13:32, 07/09/2016 [^] [^^] [^^^] [ответить] [к модератору]
| +4 +/– | |
Именно. Доверенный процессор (без бэкдоров в виде недокументированных команд) и доверенный BIOS, который не станет загружать операционку под гипервизором, эмулируя полный доступ к железу. ;-) И доверенные девайсы (не от NSA), которые внезапно не попытаются через доступ к контроллеру памяти считать то, что им не полагается знать. :-)
Trust no one. (C) Fox Mulder. ;-)
| | |
| |
| 5.43, Mihail Zenkov (ok), 13:44, 07/09/2016 [^] [^^] [^^^] [ответить] [↓] [к модератору]
| +16 +/– |
Господа!
Фирма "IZh & Zenkoff" готова предположить вам радикальное решение! Не доверяйте свои расчеты западным процессором и уж тем более китайским калькуляторам. Только отечественные счеты нашего производства (с костяшками из сибирского кедра), гарантируют вам прозрачность и стабильность всех ваших расчетов! Также наша фирма поддерживает идею Open-source hardwar и к каждому экземпляру прилагается полный чертеж изделия со всей необходимой пояснительной документацией.
| | |
| |
| 6.74, Аноним (-), 15:17, 07/09/2016 [^] [^^] [^^^] [ответить] [↓] [к модератору]
| +6 +/– |
> Только отечественные
> счеты нашего производства (с костяшками из сибирского кедра), гарантируют вам прозрачность
А можно костяшки и все остальное тоже прозрачным, для дополнительной прозрачности (а то мало ли какие там жучки с сибирского кедра останутся!)?
| | |
|
| 5.50, Анонимко (?), 14:06, 07/09/2016 [^] [^^] [^^^] [ответить] [↑] [к модератору]
| +1 +/– |
Радио-86КР к Вашим услугам! Собственная сборка и прошивка обеспечит гарантированное отсутствие бэкдоров! Софт тоже сами напишите. Зато надежно!
| | |
|
|
|
|
| 1.2, Аноним (-), 10:36, 07/09/2016 [ответить] [﹢﹢﹢] [ · · · ] [↓] [↑] [к модератору]
| +/– | |
Существует программа patchelf, позволяющая запускать программы от новых систем в старых. Просто скачать glibc от EL7 и сделать LD_LIBRARY_PATH (и даже LD_PRELOAD) недостаточно - надо в самом бинарнике поменять путь к ld-linux.so.2. Что и делает эта программа.
Похоже, руткит работает по тому же принципу
| | |
| |
| 2.24, Кирилл (??), 12:07, 07/09/2016 [^] [^^] [^^^] [ответить] [к модератору]
| +/– |
Скорее всего так, но возникает вопрос с его корректной установкой)))
При установке обновлений и пакетов штатным apt, например, его подцепить невозможно, а в корпоративной среде на линуксах у пользователей нет прав выполнения от рута.
| | |
| |
| 3.31, Mihail Zenkov (ok), 12:59, 07/09/2016 [^] [^^] [^^^] [ответить] [к модератору]
| +2 +/– | |
> При установке обновлений и пакетов штатным apt, например, его подцепить невозможно
"невозможно" - слишком смелое утверждение. Точнее будет сказать: мало вероятно.
| | |
|
|
| |
| 2.8, SysA (?), 10:58, 07/09/2016 [^] [^^] [^^^] [ответить] [↓] [к модератору]
| +1 +/– |
>>инструменты анализа содержимого ФС
> Огласите список плз?
Прочитай оригинал статьи - там и примеры есть! :)
| | |
| |
| 3.18, Аноним (-), 11:44, 07/09/2016 [^] [^^] [^^^] [ответить] [к модератору]
| +1 +/– | |
> Прочитай оригинал статьи - там и примеры есть! :)
Там проприетарщина. Хочется чего-то штатного, что есть в репозиториях. Помню была какая-то утилита для чтения файлов с ФС с разбором на уровне inode, которая обходила большинство ядерных руткитов.
| | |
| |
| 4.66, SysA (?), 14:56, 07/09/2016 [^] [^^] [^^^] [ответить] [к модератору]
| +/– |
>> Прочитай оригинал статьи - там и примеры есть! :)
> Там проприетарщина. Хочется чего-то штатного, что есть в репозиториях. Помню была какая-то
> утилита для чтения файлов с ФС с разбором на уровне inode,
> которая обходила большинство ядерных руткитов.
Я не имел ввиду путь скрипт-кидди (кстати, а почему ты собираешься верить сторонней "чистилке"?! :) - может она сама переносчик заразы??), а я намекал на это:
"Removal Instructions
Umbreon is a ring 3 (user level) rootkit, so it is possible to remove it... the easiest way is to boot the affected machine with Linux LiveCD and follow the steps:
..."
И где тут "проприетарщина"?!..
А если не доверяешь LiveCD - сделай свой! Какие проблемы?..
| | |
| |
| 5.76, Аноним (-), 15:24, 07/09/2016 [^] [^^] [^^^] [ответить] [к модератору]
| +5 +/– | |
> Я не имел ввиду путь скрипт-кидди
А попытска чистки скомпрометированной системы значит не путь скрипт-кидди?
| | |
|
|
|
| 2.47, Аноним (-), 14:05, 07/09/2016 [^] [^^] [^^^] [ответить] [↑] [к модератору]
| +2 +/– |
>>инструменты анализа содержимого ФС
> Огласите список плз?
Вы всерьез надеетесь на нормальный ответ?
Тут не так давно один опеннетный специалист рассказывал про поиск руткитов пакетным менеджером, так что готовтье ведра для снятой с ушей лапшы )
| | |
|
| |
| 2.19, Аноним (-), 11:45, 07/09/2016 [^] [^^] [^^^] [ответить] [к модератору]
| +9 +/– |
> А как он размножается?
> Что должно случиться, чтобы он появился у меня на компьютере?
Это руткит, он не размножается, а устанавливается после взлома.
| | |
| 2.52, Нанобот (ok), 14:13, 07/09/2016 [^] [^^] [^^^] [ответить] [к модератору]
| +/– |
 >А как он размножается?
вообще-то руткиты - не вирусы, они не размножаются. их устанавливают хакеры, получившие несанкционированый доступ
| | |
|
| |
| |
| 3.29, Mihail Zenkov (ok), 12:50, 07/09/2016 [^] [^^] [^^^] [ответить] [к модератору]
| +2 +/– | |
Смешно.
Но если серьезно - то да, скорее всего нужно добавлять поддержку BSD libc отдельно, ибо IIRC там какие-то особенности работы со строками.
| | |
| |
| 4.69, Andrey Mitrofanov (?), 15:07, 07/09/2016 [^] [^^] [^^^] [ответить] [к модератору]
| +1 +/– | |
> Смешно.
Пасиб.
> Но если серьезно - то да, скорее всего нужно добавлять поддержку BSD
> libc отдельно, ибо IIRC там какие-то особенности работы со строками.
1/ ещё момент: оно может быть "закрытое" =и б3дешники снова будут "переписывать"
2/ и ещё: ещё "переписывать" != "портировать"
3/ а, да! на джавву тож придётся переписывать :+D
| | |
| |
| 5.86, Аноним (-), 18:18, 07/09/2016 [^] [^^] [^^^] [ответить] [к модератору]
| +1 +/– |
Чувак, тот, кто убедил тебя, что шутка повторённая дважды становится смешнее, очевидно был троллем. Не надо так.
| | |
| |
| 6.101, Andrey Mitrofanov (?), 09:56, 08/09/2016 [^] [^^] [^^^] [ответить] [к модератору]
| +1 +/– | |
> Чувак, тот, кто убедил тебя, что шутка повторённая дважды становится смешнее, очевидно
Следи за тредом, д-6-л. После слов "Но если серьезно" я уже разговаривал с человеком (он меня похвалил лучше всех |-P), а не глумился над твоим единокровным язеном. Но для него и тебя добавлю:
0/ Зачем? Оно тебе надо?? Будешь искать рынка малвари для своего фетиша?!
> был троллем. Не надо так. | | |
|
|
|
|
|
| 1.16, Mihail Zenkov (ok), 11:26, 07/09/2016 [ответить] [﹢﹢﹢] [ · · · ] [↓] [↑] [к модератору]
| +5 +/– | |
> Для обнаружения и удаления руткита можно использовать инструменты анализа содержимого ФС, напрямую обращающиеся через системные вызовы, минуя функции libc.
Или держать в системе статически линкованый busybox.
| | |
| |
| 2.32, Michael Shigorin (ok), 13:00, 07/09/2016 [^] [^^] [^^^] [ответить] [к модератору]
| –2 +/– |
 >> Для обнаружения и удаления руткита можно использовать инструменты анализа
>> содержимого ФС, напрямую обращающиеся через системные вызовы, минуя функции libc.
> Или держать в системе статически линкованый busybox.
Кстати, да.
Как вариант, http://altlinux.org/rescue -- заодно там одна из наиболе ровных реализаций forensics mode среди аналогичных штуковин, ср. http://forensicswiki.org/wiki/Forensic_Live_CD_issues
PS 2 asavah: понятия не имею, кто трёт Вашу чушь, но я бы тоже стёр (пп. 4, 6 правил).
| | |
| 2.120, Аноним (-), 19:05, 12/09/2016 [^] [^^] [^^^] [ответить] [к модератору]
| –1 +/– | |
> Или держать в системе статически линкованый busybox.
Из него средство forensic хилое, да и пропатчить его можно.
| | |
|
| 1.20, Аноним (-), 11:45, 07/09/2016 [ответить] [﹢﹢﹢] [ · · · ] [↓] [↑] [к модератору]
| +4 +/– |
Ну наконец хоть что-то интересное! А то достали уже пугать примитивнейшими троянами.
Кстати, напомните, сколько лет назад предыдущий руткит появился?
| | |
| |
| 2.37, for mother russia (?), 13:09, 07/09/2016 [^] [^^] [^^^] [ответить] [↓] [к модератору]
| +3 +/– |
Скука :( Троян, перехвативший сотню функций в kernel32.dll, вызвал бы лишь жалость, а здесь приходится радоваться и таким вот "приветам" от любителей.
И где пропадает Столлман, почему до сих пор нет движухи за Open Spyware?
| | |
|
| 1.34, freehck (ok), 13:03, 07/09/2016 [ответить] [﹢﹢﹢] [ · · · ] [↓] [к модератору]
| +2 +/– |
 Хм. Автор руткита сидит на опеннете? "А я на чёрном рынке хорошенький руткит продаю, приходите посмотреть", - это, конечно, интересная новость. :)
| | |
| 1.41, нет (??), 13:42, 07/09/2016 [ответить] [﹢﹢﹢] [ · · · ] [↓] [↑] [к модератору]
| –3 +/– |
То, что поколение покемонов прочитало про LD_PRELOAD, это радует но то, что результат часа работы любого linux программиста продаётся на чёрном рынке, дискредитирует сами эти рынки.
| | |
| |
| 2.82, angra (ok), 17:12, 07/09/2016 [^] [^^] [^^^] [ответить] [к модератору]
| +10 +/– |
 За час "любой linux программист" даже грамотное техническое задание не составит под эту задачу. Ты похоже не представляешь сколько надо времени, чтобы вдумчиво прочитать доку по всем функциям libc, проанализировать параметры и возращаемые значения, после чего составить список что, где и как надо заменить.
| | |
| |
| |
| 4.102, Очередной аноним (?), 11:24, 08/09/2016 [^] [^^] [^^^] [ответить] [к модератору]
| +2 +/– | |
> лолчик, все функции либс при написании этого эксплойта никто не прочитал, инфа 100%. Подменяли от силы пять, и это это слегка перебор. Реализован хардкод прелоада.
ты похоже не читатель, ты писатель. Написано же "...Всего перехватывается более 100 функций. ...". И чтобы вычленить НУЖНЫЕ 100 функций (да даже упомянутые тобой пять), сначала надо перешерстить все остальные и понять что они делают. Ну тебе же эти пять функций не бог внушил, как моисею заповеди.
| | |
| |
| 5.103, нет (??), 11:34, 08/09/2016 [^] [^^] [^^^] [ответить] [к модератору]
| –4 +/– |
>> лолчик, все функции либс при написании этого эксплойта никто не прочитал, инфа 100%. Подменяли от силы пять, и это это слегка перебор. Реализован хардкод прелоада.
> ты похоже не читатель, ты писатель. Написано же "...Всего перехватывается более 100
> функций. ...". И чтобы вычленить НУЖНЫЕ 100 функций (да даже упомянутые
> тобой пять), сначала надо перешерстить все остальные и понять что они
> делают. Ну тебе же эти пять функций не бог внушил, как
> моисею заповеди.
не нужно 100 функций. Это для веса.
| | |
| |
| 6.105, Mihail Zenkov (ok), 12:40, 08/09/2016 [^] [^^] [^^^] [ответить] [к модератору]
| +/– | |
> не нужно 100 функций. Это для веса.
Так напиши мене такой rootkit (прячущий процесс, файлы, файловые операции, сетевые операции и сетевую активность, корректно подменяющая вывод strace, работающий через ssh) за час. Час твоего времени я готов оплатить (по расценкам среднего linux программиста).
| | |
| |
| 7.107, angra (ok), 15:57, 08/09/2016 [^] [^^] [^^^] [ответить] [к модератору]
| +5 +/– |
У меня стойкое впечатление, что "нет" и "любой линукс программист" просто не поняли значение большей части этих страшных слов. Зато увидели знакомое слово LD_PRELOAD и решили, что вся работа руткита сводится к этому. Потому и считают, что за час можно справиться.
Напоминает дикарей, сооружающих макет самолета из бамбука и уверенных, что этого достаточно.
| | |
|
|
|
|
| 3.121, Аноним (-), 19:10, 12/09/2016 [^] [^^] [^^^] [ответить] [↑] [к модератору]
| –1 +/– |
> За час "любой linux программист" даже грамотное техническое задание не составит под
> эту задачу.
Не позорь собой линукс-программистов. Я библу под LD_PRELOAD перехватывающую open() и еще несколько интересных вещей написал за 2 часа.
| | |
| |
| 4.123, Mihail Zenkov (ok), 21:01, 12/09/2016 [^] [^^] [^^^] [ответить] [к модератору]
| +/– | |
Я вот тоже за час наваял библиотеку i2c для uC - вывод на LCD работал нормально. А потом понадобилось еще свой slave дописать, да с нормальной обработкой ошибок и повторной передачей, дабы в условии сильных помех работало. И все это для жесткого realtime. В итоге неделю уже сижу. А в начале тоже казалось - на день работы.
| | |
|
|
|
| 1.44, Анончег (?), 13:47, 07/09/2016 [ответить] [﹢﹢﹢] [ · · · ] [↓] [↑] [к модератору]
| –3 +/– |
Я правильно понимаю, что для внедрения данного руткита необходимо иметь права на запись в системные директории, такие как /etc, /lib и т.д.? Опять двадцать пять... Вы мне покажите лучше руткит, который сможет внедриться в систему от меня — простого пользователя.
| | |
| |
| 2.45, Michael Shigorin (ok), 13:50, 07/09/2016 [^] [^^] [^^^] [ответить] [к модератору]
| +3 +/– |
> Вы мне покажите лучше руткит, который сможет внедриться в систему от меня
> — простого пользователя.
Это другая часть задачи -- эксплойт уязвимости класса хотя бы local root.
| | |
|
| 1.48, Нанобот (ok), 14:05, 07/09/2016 [ответить] [﹢﹢﹢] [ · · · ] [↓] [↑] [к модератору]
| –4 +/– |
>Linux-системы на базе архитектур x86, x86_64 и ARM
>Umbreon относится к руткитам третьего кольца защиты
вопрос к знатокам: а на ARM вообще есть ring3?
| | |
| |
| |
| 3.63, eganru (?), 14:42, 07/09/2016 [^] [^^] [^^^] [ответить] [к модератору]
| +1 +/– |
скорее не следовало вообще упоминать кольцо защиты. достаточно было упомянуть то, что подменяется glibc.
кольца-то пресловутые это крайне завязанная на определенные реализации систем сущность.
| | |
|
|
| 1.60, yaa (?), 14:26, 07/09/2016 [ответить] [﹢﹢﹢] [ · · · ] [↑] [к модератору]
| +2 +/– |
Я такую хрень видал на SS (SPARCstation), Solaris, где-то в 00-02...
Ставилась по сетке через дыру в lp daemon (уже не помню, как он там звался).
Ничего нового в подлунном мире...
| | |
| |
| 2.75, Аноним (-), 15:19, 07/09/2016 [^] [^^] [^^^] [ответить] [к модератору]
| +/– | |
> Нужен рут, а его ещё получить надо. Беспокоиться не о чем.
Следующая новость будет: "Обнаружена уязвимость в bash позволяющая поднять привилегии до root".
| | |
|
| |
| 2.111, Аноним (-), 01:57, 09/09/2016 [^] [^^] [^^^] [ответить] [к модератору]
| +1 +/– |
Если информация в Вашей системе будет представлять существенную ценность, то обязательно найдутся желающие взять труд по установке руткита в Вашу систему на себя ;-)
| | |
|
| 1.88, XoRe (ok), 18:55, 07/09/2016 [ответить] [﹢﹢﹢] [ · · · ] [↓] [↑] [к модератору]
| +/– |
 > относится к руткитам третьего кольца защиты, функционирующим только в пространстве пользователя
> Библиотека прописывается в конфигурационный файл "/etc/ld.so.*"
Как он в /etc от юзера что-то запишет?
| | |
| |
| 2.89, Аноним84701 (?), 19:18, 07/09/2016 [^] [^^] [^^^] [ответить] [к модератору]
| +/– |
>> относится к руткитам третьего кольца защиты, функционирующим только в пространстве пользователя
>> Библиотека прописывается в конфигурационный файл "/etc/ld.so.*"
> Как он в /etc от юзера что-то запишет?
http://www.catb.org/jargon/html/U/userland.html
> userland: n.
> Anywhere outside the kernel. “That code belongs in userland.”
> This term has been in common use among Unix kernel hackers since at least 1985, and may have have
> originated in that community. The earliest sighting was reported from the usenet group net.unix-wizards
Ваш Кэп
| | |
|
| 1.94, Аноним (-), 22:47, 07/09/2016 [ответить] [﹢﹢﹢] [ · · · ] [↑] [к модератору]
| –1 +/– |
Мда... помнится, когда-то я слепил флэшку с BartPE и развлекался прибиванием скринлокеров без использования антивируса. Почти всегда это был файл с именем из случайной строки, прописанный в appinitdll.
Забавно теперь читать почти то же самое про линух.
| | |
| 1.99, Аноним (99), 03:29, 08/09/2016 [ответить] [﹢﹢﹢] [ · · · ] [к модератору]
| –1 +/– |
 "Также можно загрузиться c LiveCD, примонтировать дисковые разделы и оценить наличие подозрительных файлов /etc/ld.so.*, /usr/lib/libc.so.* и /usr/share/libc.so.*. "
Поменяйте пожалуйста звездочки на что-то другое, можно как в оригинале, <random>, а то я уже обрадовался :)
# ls -l /etc/ | grep so
-rw-r--r-- 1 root root 252552 Sep 7 19:52 ld.so.cache
-rw-r--r-- 1 root root 71 Sep 30 2015 ld.so.conf
drwxr-xr-x 2 root root 4096 Aug 9 12:52 ld.so.conf.d
# ls -l /usr/lib/ | grep libc.so*
-rw-r--r-- 1 root root 255 Aug 6 14:16 libc.so
lrwxrwxrwx 1 root root 12 Aug 6 14:17 libc.so.6 -> libc-2.24.so
| | |
| |
| |
| 3.113, anonymous (??), 10:40, 09/09/2016 [^] [^^] [^^^] [ответить] [к модератору]
| +/– |
DIR *dp;
struct dirent *ep;
dp = opendir ("/etc");
if (dp != NULL)
{
while (ep = readdir (dp))
{
fputs_unlocked (ep->d_name, stdout);
fputc('\n', stdout);
}
(void) closedir (dp);
}
else
perror ("Couldn't open the directory");
return 0;
| | |
| 3.114, Andrey Mitrofanov (?), 10:43, 09/09/2016 [^] [^^] [^^^] [ответить] [к модератору]
| +1 +/– | |
>> Всё, теперь буду ходить в интернет только с плейстейшен. Там же нет
Ходи с венды -- там и root-а нету!!
>> руткитов? Ведь нету же? Как туда поставить руткит? | | |
|
|
|
