| |
| 2.2, Антон (??), 23:13, 28/06/2008 [^] [^^] [^^^] [ответить]
| +/– | |
>Велосипед, ибо sudo lsof -i
При запущенном рутките lsof не покажет скрытого порта, а вот bruteforce его выявить поможет.
| | |
| |
| 3.6, Аноним (1), 03:14, 29/06/2008 [^] [^^] [^^^] [ответить]
| +/– | |
>При запущенном рутките lsof не покажет скрытого порта, а вот bruteforce его выявить поможет.
А вам не кажется, что алгоритм у этих утилит одинаков? Только у lsof малость побольше возможностей. Да и по умолчанию, lsof в дистрибутивах не встречается.
Все же -- велосипед.
| | |
| 3.9, alexxy (?), 13:19, 29/06/2008 [^] [^^] [^^^] [ответить]
| +/– |
 Вообще то lsof просто показывает все открытые на чтение или запись дескрипторы
Так что она покажет все процессы. Если конечно ее не успели подменить. =)
| | |
| |
| 4.11, Аноним (1), 16:03, 29/06/2008 [^] [^^] [^^^] [ответить]
| +/– | |
>а насколько brute дает ошибочно позитивные результаты?
собственно вот проверил, на фоне запущенного гуглдесктопа можно стать форменным параноиком :)))
| | |
|
|
| 2.3, User294 (ok), 00:03, 29/06/2008 [^] [^^] [^^^] [ответить]
| +/– | |
>Велосипед, ибо sudo lsof -i
Ага, умные все.А вы и правда думаете что хакеры и те кто пишет руткиты настолько дебилы?Вообще-то основная идея руткита как раз в том чтобы система не выдавала присутствия хакера ни в каком виде, иногда слегка привирая в результатах системных вызовов и т.п.. Для этого руткиты скажем, грузят модуль ядра например.Или пытаются втулитьяс между библиотеками и программой.Чтобы контролировать что программа получит как результат и поубирать себя любимого и "защищаемые" процессы нафиг из мест где их наличие может запалиться.Специально чтобы показать кукиш таким как вы шибко умным админам.Так что с качественным руткитом вы там нифига такого особенного можете и не увидеть :P
А вот описанные методы ... ну вот по косвенным признакам возможное наличие руткита как раз и можно спалить.Вполне нормально придумано имхо :)
| | |
| |
| 3.4, pavlinux (ok), 00:42, 29/06/2008 [^] [^^] [^^^] [ответить]
| +/– |
Руткиты и трояны нужны, из-за них будут увольнять ламероадминоффф, ибо это единственная дыра в Unix.
| | |
| |
| 4.5, szh (ok), 00:59, 29/06/2008 [^] [^^] [^^^] [ответить]
| +/– |
Если ты боишься конкуренции со стороны ламероадминов, значит сам ты почти ламер. Ламероадмины нужны для конкуренции с Майкрософт. Чтобы unix ламероадмин стоил не дороже виндового ламероадмина. А руткиты следовательно только мешают.
| | |
| |
| 5.12, pavlinux (ok), 16:50, 29/06/2008 [^] [^^] [^^^] [ответить]
| +/– |
Дык, а как тогда отличить ламероадмина от не ламеро...
Только по кол-ву дырок на серваке! Дипломы, сертификаты или звание академика АН СССР/РФ не спасут :)
| | |
| |
| 6.15, Аноним (1), 19:55, 29/06/2008 [^] [^^] [^^^] [ответить]
| +/– |
>>Дык, а как тогда отличить ламероадмина от не ламеро...
>>Только по кол-ву дырок на серваке!
Ну вот тебе пример - у одного админа-параноика стоят 3 сервера с OpenBSD и он круглосуточно там руткиты ищет, а у другого - сотня линуксовых с редхатом и развёрнутыми приложениями и тысячи юзеров.
Вопрос - кто из них недоадмин?
| | |
| |
| 7.16, pavlinux (ok), 21:34, 29/06/2008 [^] [^^] [^^^] [ответить]
| +/– |
>>>Дык, а как тогда отличить ламероадмина от не ламеро...
>>>Только по кол-ву дырок на серваке!
>
>Ну вот тебе пример - у одного админа-параноика стоят 3 сервера с
>OpenBSD и он круглосуточно там руткиты ищет, а у другого -
>сотня линуксовых с редхатом и развёрнутыми приложениями и тысячи юзеров.
>
>Вопрос - кто из них недоадмин?
Тут уже вопрос о важности данных на серверах.
на 100 RedHat_x можно крутить чат сексуальных меньшинств, а на 3-х O'BSD банковский сервер.
| | |
|
|
|
|
| 3.7, Аноним (1), 03:20, 29/06/2008 [^] [^^] [^^^] [ответить]
| +/– |
>>Велосипед, ибо sudo lsof -i
>
>Ага, умные все.А вы и правда думаете что хакеры и те кто
>пишет руткиты настолько дебилы?
Да, именно так и считаю, человек который пишет руткит и называет себя при этом хакером,
явный дебил.
>Для этого руткиты скажем, грузят модуль ядра например.
Ну тогда вам ничего уже не поможет. Кроме как анализа трафика на шлюзе, и предварительно настроенного SELinux.
| | |
| |
| 4.17, User294 (ok), 23:57, 29/06/2008 [^] [^^] [^^^] [ответить] | +/– | Простите, а судьи кто И собственно почему мнение какого-то безвестного анонима -... большой текст свёрнут, показать | | |
|
|
|
| 1.13, Оммм (?), 18:15, 29/06/2008 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
>Не вполне понял в чем отличие от chkrootkit который делает все то же самое и больше?
он не пытается проверить скрытых портов
| | |
| 1.14, Оммм (?), 18:24, 29/06/2008 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
lsof/ps/top/ls -la /proc - это все юзерлевел тулзы, при использовании кернел руткита, они безполезны
принцип работы чекруткитов/ркхантеров и этого анхайда простой как двери: последовательно заходится в каждую диру /proc/1 .. /proc/65355 (что по номеру пида), если в диру с пидом 666 пустило, а его нету в выводе ps (lsof или top или ваша любимая юзерлевел гляделка процесов) - значит есть скрытй процес
поэтому аноним, выскочка! ты должен умереть!
| | |
| |
| 2.20, Аноним (-), 10:39, 30/06/2008 [^] [^^] [^^^] [ответить]
| +/– |
>(lsof или top или ваша любимая юзерлевел гляделка процесов) - значит
>есть скрытй процес
весьма странно что у lsof именно такой-же алгоритм, или вы знаете как еще получить
список процессов и дескрипторов, кроме как при помощи обхода каталогов и просмотра файлов в /proc
>поэтому аноним, выскочка! ты должен умереть!
Я знаю, все там будем.
| | |
| |
| 3.21, Оммм (?), 12:33, 30/06/2008 [^] [^^] [^^^] [ответить]
| +/– |
>>(lsof или top или ваша любимая юзерлевел гляделка процесов) - значит
>>есть скрытй процес
>
>весьма странно что у lsof именно такой-же алгоритм, или вы знаете как
>еще получить
>список процессов и дескрипторов, кроме как при помощи обхода каталогов и просмотра
>файлов в /proc
в том-то и дело, что все гляделки поступают коректно, просто смотря какие есть файлы в дире /proc
для примера, adore вешает свои обработчики на proc_readdir, и в зависимости от "настроек скрытности процеса" возвращает файл (/proc/PID) или нет, соответсвенно, наш скрытый пид под номером 666 не виден в директории и его не будит видеть НИОДНА юзерлевел гляделка процесов, но в диру зайти можно ("в слепую", что и делают брутфорс перебором аля всякие чекруткиты), потому что процес есть в системе и структуры процеса есть (ибо полностью их убрать нельзя, а то ядро его шедулить не будит %)
| | |
| |
| 4.22, Аноним (-), 13:49, 30/06/2008 [^] [^^] [^^^] [ответить]
| +/– | |
>для примера, adore вешает свои обработчики на proc_readdir, и в зависимости от "настроек скрытности процеса" возвращает файл (/proc/PID) или нет, соответсвенно, наш скрытый пид под номером 666
Эммм... а можно системный вызов привести, для создания скрытого, таким образом, процесса.
| | |
| |
| 5.23, Аноним (1), 17:39, 30/06/2008 [^] [^^] [^^^] [ответить]
| +/– |
>>для примера, adore вешает свои обработчики на proc_readdir, и в зависимости от "настроек скрытности процеса" возвращает файл (/proc/PID) или нет, соответсвенно, наш скрытый пид под номером 666
>
>Эммм... а можно системный вызов привести, для создания скрытого, таким образом, процесса.
>
Видите ли коллега :) "настроек скрытности процесса" в стандартном fork/exec не существует, руткит который бы это использовал должен был бы модифицировать чуть ли не половину ядра, включая init, vfs и планировщик. Гоните дальше.
| | |
| |
| 6.24, Оммм (?), 13:25, 01/07/2008 [^] [^^] [^^^] [ответить]
| +/– | |
>Эммм... а можно системный вызов привести, для создания скрытого, таким образом, процесса.
этот функционал как раз и реализует руткит :) в ваниле вы такого не найдете %)
>Видите ли коллега :) "настроек скрытности процесса" в стандартном fork/exec не существует,
>руткит который бы это использовал должен был бы модифицировать чуть ли
>не половину ядра, включая init, vfs и планировщик. Гоните дальше.
Сударь, гоните вы, просто потому, что понятия зеленого не имеете о сути вещей о которых говорите, ваши убеждения основаны на ваших же домыслах, это вам КАЖЕТСЯ что нужно менять что-то в init (когда он тут вообще рядом не лежит) в планировщике и в вфс, просто других частей ядра вы очевидно не знаете, а то бы написали и их.. но хуже всего то, что вы позволяете себе утверждать даже не удосужившись проверить.. вам просто кажеться и вам этого ДОСТАТОЧНО, стыдитесь, стыдитесь... а после возмите код адора (который в паблике уже черти сколько лет) и почитайте, функция реализующая сокрытие процеса по пиду занимает там аж целых 42 строки (включая коментарии и функционал дающий uid=0 любому юзеру вбившему спец. пароль)
| | |
|
|
|
|
|
|
