|
ru.linux
- RU.LINUX ---------------------------------------------------------------------
From : Max Mokry 2:5020/400 21 Jul 2004 16:59:08
To : slava kozyrev
Subject : Re: о способах обнаружения root-kit
--------------------------------------------------------------------------------
Hello, All!
sk> именно так не пробывал, но иногда практикую следующее:
sk> гружусь с дискеттки tomsrtb, подготавливаю fs, подгружаю модули сетевой
sk> и т.п. - настраиваю сеть,
sk> монтирую в /mnt разделы "нового" диска как они должны потом
sk> монтироваться, закачиваю по ftp (cdrom) туда заранее подготовленный
sk> образ роутера в tar.bz2, разворачиваю там, vi /etc/lilo.conf, настройка
sk> нужных конфигов, chroot /mnt, /sbin/lilo, перезагрузка и дубль
sk> заточенный под меня живет своей жизнью, если нужно достаем напильник и
sk> доводим. В принципе получиться должно, но есть некоторые но - 1-е
sk> система уже скомпромитирована, любые телодвижения на ней уже тоже
sk> скомпромитированы, 2-е это физическое удаление до обьекта и
sk> невозможность загрузки с целью проверки-модификации системы с
sk> "проверенного" носителя, 3-e надежность канала связи, опять же от
sk> железячных сбоев и танцев с бубном ни кто не застрахован.
Да. Получается, что сделать нужно так, чтобы оно поднялось с первого раза.
Это тяжело без тренировки. По поводу скомпрометтированной системы - есть
шанс, что статически собраный shell sash все-таки в некотором роде сможет
помочь (в нем реализованы аналоги tar, gz, cp, mv).
Есть у меня машина под ASP-9.0 в физическом доступе. Попробую провести такой
эксперимент на ней... Правда там ASP-Loader, а не grub
[root@server2 root]# sash
Stand-alone shell (version 3.4)
> help
alias [name [command]]
aliasall
-ar [txp]v arFileName fileName ...
cd [dirName]
-chattr [+i] [-i] [+a] [-a] fileName ...
-chgrp gid fileName ...
-chmod mode fileName ...
-chown uid fileName ...
-cmp fileName1 fileName2
-cp srcName ... destName
-dd if=name of=name [bs=n] [count=n] [skip=n] [seek=n]
-echo [args] ...
-ed [fileName]
exec fileName [args]
exit
-file fileName ...
-find dirName [-xdev] [-type chars] [-name pattern] [-size minSize]
-grep [-in] word fileName ...
-gunzip fileName ... [-o outputPath]
-gzip fileName ... [-o outputPath]
help [word]
-kill [-sig] pid ...
-losetup [-d] device
-losetup device filename
-ln [-s] srcName ... destName
-ls [-lidFC] fileName ...
-lsattr fileName ...
-mkdir dirName ...
-mknod fileName type major minor
-more fileName ...
-mount [-t type] [-r] [-m] devName dirName
-mv srcName ... destName
-printenv [name]
prompt string
-pwd
quit
-rm fileName ...
-rmdir dirName ...
setenv name value
source fileName
-sum fileName ...
-sync
-tar [cxtv]f tarFileName fileName ...
-touch fileName ...
umask [mask]
-umount fileName
unalias name
-where program
--
http://dn-ua.com - хостинг за 1 евро
http://oblako.dn-ua.com - наши работы
--- ifmail v.2.15dev5.3
* Origin: Demos online service (2:5020/400)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
Re: о способах обнаружения root-kit