Viry, cervi a jina haved
Martin Macok
martin.macok na underground.cz
Neděle Květen 14 17:06:00 CEST 2000
On Sat, May 13, 2000 at 10:37:05PM +0200, Pavel Kankovsky wrote:
> On 12 May 2000 b.linda na sh.cvut.cz wrote:
> > Mne hlavne zajima, jetstli se clovek muze obavat pustit _su_ z takto
> > "kontaminovaneho" prostredi.
>
> Odpoved je jednoznacne ano. Sice (jak spravne poznamenal kolega Novotny,
> akorat me na mysli spis ld.so, nez ldd) neni nejvic ohrozeno samotne su,
> ale "kontaminovane prostredi" muze:
>
> 1. ovlivnovat (jak jiz uvedl kolega Macok) komunikaci mezi uzivatelem a
> su, pripadne nasledne spustenymi privilegovanymi procesy; reseni tohoto
> problemu se nazyva "trusted path" a neni to zadna legrace (takove to
> "Press Ctrl+Alt+Del to log in" v NT je prave dost nesmely pokus
> implementovat trusted path)
>
> 2. vzhledem k tomu, ze su (bez parametru -) ex definitiones zachovava
> temer uplne nastaveni prostredi, tak je mozno napr. nastavenim ruznych
> osklivych env. promennych ($ENV, $PS1, $PATH, $LD_PRELOAD) nebo souboru
> ($HOME/.bashrc) zpusobit krajne nestandardni chovani privilegovanych
> procesu spustenych z su
Jeste mne napadlo, ze asi to nejjednodussi, co by mohl virus udelat, je
asi toto:
- virus se podiva, jaky shell pouziva root (polozka v /etc/passwd) a
pripravi si jeho infikovanou kopii treba v /var/tmp/.infected.sh
- virus ceka, az uzivatel napise "su" ("su -", "su root" ...) a za prikaz
si prida parametr "-c /var/tmp/.infected.sh" (coz uzivatel nevidi).
- uzivatel nic nepozna, vse se chova jako doposud a virus se muze sirit s
pravomocemi roota.
Budu koncit, uz TO po mne ZASE chce susenku ...
--
< Martin Mačok martin.macok na underground.cz <iso-8859-2>
\\ http://kocour.ms.mff.cuni.cz/~macok/ http://underground.cz/ //
\\\ -= t.r.u.s.t n.0 o.n.e =- ///
Další informace o konferenci Linux