Linux-Bulgaria.ORG

навигация

начало

пощенски списък

архив на групата

По Дата

Re: lug-bg: rootkit

Subject: Re: lug-bg: rootkit
From: danchev@xxxxxxxxx (George Danchev)
Date: Mon, 18 Feb 2002 14:56:14 +0200

On Monday 18 February 2002 13:24, you wrote:
> rpm -Via .. ili neshto ot sorta (pogledni man page-a) shte ti pokave
> wsichki promeneni files.
> ottam gledash toq file na koj package prinadlevi - rpm -qf /bin/login
> (primerno) i
> install-wash paketa s rpm -Uvh --force package-shalala.i386.rpm

mmmdaa ... :)  
e ako  executables instalirani ot tezi paketi polzvat shared libs ot 
eventualno troqnizirana sistema, pak nqma da sme 100% ubedeni 4e kontrola e v 
nashi ryce... taka da se kazhe ostavat symneniq :) . Za tuj sa polzva 
precompiled statically linked executables, naprimer za linux za x86 i libc2.2:
http://www.incident-response.org/linux_x86.htm  
(ima dosta precompiled utils ;)
za kernel modulite e po-opasno malko... vsystnost vseki security maniak ste 
se izkazhe protiv  kojto i da e kernel s enabled support za loadvane na 
kernel modules... (t.e po vyzmozhenost vsi4ko monolitno compiled-in v kernela 
i nikvi supporti za zarezhdaniq na modules ;) stoto intrudera kato grabne 
root access mozhe da loadne nqkoe interesno module-4e koeto da 
prevent-va/moderira output-a ot /proc/modules, a pyk za lsmod da ne govorim :)

> za skritite process i file - ne znam kak shte gi tyrsish.

kstat maj se opitva da resheva to4no tova, ne sym siguren stoto ne go polzvam 
 - da pokazva zaredenite kernel moduli nevidimi s lsmod i cat /proc/modules  
(ako polzvame cat trqbva da sme sigurni i v nego - t.e. precompiled i 
statically linked - za da sme ubedeni forever 4e e naistina nashiq "cat" , 
ili tam koqto i da e util-ka ;) ... ama maj kstat ne se razprostranqva v 
binarna forma zavisi ot mnogo nesta koito trqbva da se detectmnat build time, 
konkretno za tovq kernel (ne ot source-a na kernela, stoto i toj mozhe da e 
trojaniziran, a ot /proc ili System.map eventualno ;)

-- 
Greets,
fr33zb1
===========================================================================
A mail-list of Linux Users Group - Bulgaria (bulgarian linuxers)
http://www.linux-bulgaria.org/ Hosted by Internet Group Ltd. - Stara Zagora

Относно:
- Re: lug-bg: rootkit
  - Изпратено от: bombe@xxxxxxxxx (Vesselin Kotarov)

Предишно по дата: Re: lug-bg: GCC again
Следващо по дата: Re: lug-bg: 5-ta sreshta-seminar na grupata
Предишно по тема: Re: lug-bg: rootkit
Следващо по тема: lug-bg: callback ppp
Индекс:
- По дата
- По тема

наши приятели

линукс за българи
http://linux-bg.org

FSA-BG
http://fsa-bg.org

OpenFest
http://openfest.org

FreeBSD BG
http://bg-freebsd.org

KDE-BG
http://kde.fsa-bg.org/

Gnome-BG
http://gnome.cult.bg/

проект OpenFMI
http://openfmi.net

NetField Forum
http://netField.ludost.net/forum/

Linux-Bulgaria.ORG