|
ru.linux
- RU.LINUX ---------------------------------------------------------------------
From : Yoric Kotchukov 2:5020/400 09 Dec 2006 12:48:48
To : Victor Wagner
Subject : Re: stack overflow LKM trojan
--------------------------------------------------------------------------------
Здравствуйте, Victor Wagner!
Как-то Вы писали:
YK>>>> Загрузился с постороннего носителя (кноппикс), сравнил
YK>>>> пакеты procps, coreutils, syslog-ng, netbase, passwd,
YK>>>> libc6, nettоols, ssh, bash - всё
AK>>> "сравнил" это как? Чего с чем сравнивал-то?
YK>> То, что на дисках рабочих с тем, что в пакетах на сд-шках.
YK>> Hе побайтно, по размеру-дате. Размер ведь не подделаешь?
VW> Подделаешь. Еще лет пятнадцать назад ходили слухи про вирус, который
VW> оптимизирует код программы, в которую встраивается, чтобы суммарный
VW> размер вместе с вирусом был не больше исходного.
VW> Сравнивать надо по хэш-суммам. Желательно не по одному
VW> алгоритму (tripwire по-моему штук двадцать использует),
VW> но по бедности и одной md5 хватит. В приличных дистрибутивах
VW> для этого специальные средства есть. rpm -V или debsums
С потенциально зараженной машины это не стоит делать (или замучается хакер
патчить все эти tiger/tripwire etc)? Теоретически-то я понимаю, а
практически? Кстати, tiger/tripwire etc стоят и не жаловались никогда на
такое. А вот, кстати, почему это вывод "debsums -с " в файл не
перенаправляется? Делаю "debsums -с > /tmp/sum", а оно все равно на экран валит?
--
Спасибо за внимание.
Yoric.
г. Hовосибирск.
Отправлено через сервер Форумы@mail.ru - http://talk.mail.ru
--- ifmail v.2.15dev5.3
* Origin: NPSP (2:5020/400)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
