Viry, cervi a jina haved

Mila Kuchta mila.kuchta na atlas.cz
Neděle Květen 14 21:21:17 CEST 2000 

Martin Macok <martin.macok na underground.cz> píše v diskusním
příspěvku:20000514170600.A1460 na p75.kolej.mff.cuni.cz...
> On Sat, May 13, 2000 at 10:37:05PM +0200, Pavel Kankovsky wrote:
> > On 12 May 2000 b.linda na sh.cvut.cz wrote:
> > > Mne hlavne zajima, jetstli se clovek muze obavat pustit _su_ z takto
> > > "kontaminovaneho" prostredi.
> >
> > Odpoved je jednoznacne ano. Sice (jak spravne poznamenal kolega Novotny,
> > akorat me na mysli spis ld.so, nez ldd) neni nejvic ohrozeno samotne su,
> > ale "kontaminovane prostredi" muze:
> >
> > 1. ovlivnovat (jak jiz uvedl kolega Macok) komunikaci mezi uzivatelem a
> > su, pripadne nasledne spustenymi privilegovanymi procesy; reseni tohoto
> > problemu se nazyva "trusted path" a neni to zadna legrace (takove to
> > "Press Ctrl+Alt+Del to log in" v NT je prave dost nesmely pokus
> > implementovat trusted path)
> >
> > 2. vzhledem k tomu, ze su (bez parametru -) ex definitiones zachovava
> > temer uplne nastaveni prostredi, tak je mozno napr. nastavenim ruznych
> > osklivych env. promennych ($ENV, $PS1, $PATH, $LD_PRELOAD) nebo souboru
> > ($HOME/.bashrc) zpusobit krajne nestandardni chovani privilegovanych
> > procesu spustenych z su

K tomu bych dodal jen to, ze dalsi potencionalne nebezpecna promenna, na
kterou se casto zapomina je treba i promenna IFS, i kdyz nevim jesli to uz
dnes neni obsolet, jelikoz novejsi shelly snad uz tuto promennou nastavuji
na standardni hodnoty.

> Jeste mne napadlo, ze asi to nejjednodussi, co by mohl virus udelat, je
> asi toto:
>
> - virus se podiva, jaky shell pouziva root (polozka v /etc/passwd) a
>   pripravi si jeho infikovanou kopii treba v /var/tmp/.infected.sh
> - virus ceka, az uzivatel napise "su" ("su -", "su root" ...) a za prikaz
>   si prida parametr "-c /var/tmp/.infected.sh" (coz uzivatel nevidi).

Ano, ale pozna se se mu nezmenil login :-)) A to by ho melo kopnout.

> - uzivatel nic nepozna, vse se chova jako doposud a virus se muze sirit s
>   pravomocemi roota.
>
> Budu koncit, uz TO po mne ZASE chce susenku ...
>
> --
> < Martin Mačok        martin.macok na underground.cz           <iso-8859-2>
>   \\  http://kocour.ms.mff.cuni.cz/~macok/  http://underground.cz/  //
>     \\\             -=  t.r.u.s.t  n.0  o.n.e  =-                ///
>
> --------------------------------------------------------------------------
-
> Meta-FAQ (odhlášení, archív, FAQ a další):
http://www.linux.cz/mailing-list
>

Další informace o konferenci Linux