Viry, cervi a jina haved
Mila Kuchta
mila.kuchta na atlas.cz
Neděle Květen 14 21:21:17 CEST 2000
Martin Macok <martin.macok na underground.cz> píše v diskusním
příspěvku:20000514170600.A1460 na p75.kolej.mff.cuni.cz...
> On Sat, May 13, 2000 at 10:37:05PM +0200, Pavel Kankovsky wrote:
> > On 12 May 2000 b.linda na sh.cvut.cz wrote:
> > > Mne hlavne zajima, jetstli se clovek muze obavat pustit _su_ z takto
> > > "kontaminovaneho" prostredi.
> >
> > Odpoved je jednoznacne ano. Sice (jak spravne poznamenal kolega Novotny,
> > akorat me na mysli spis ld.so, nez ldd) neni nejvic ohrozeno samotne su,
> > ale "kontaminovane prostredi" muze:
> >
> > 1. ovlivnovat (jak jiz uvedl kolega Macok) komunikaci mezi uzivatelem a
> > su, pripadne nasledne spustenymi privilegovanymi procesy; reseni tohoto
> > problemu se nazyva "trusted path" a neni to zadna legrace (takove to
> > "Press Ctrl+Alt+Del to log in" v NT je prave dost nesmely pokus
> > implementovat trusted path)
> >
> > 2. vzhledem k tomu, ze su (bez parametru -) ex definitiones zachovava
> > temer uplne nastaveni prostredi, tak je mozno napr. nastavenim ruznych
> > osklivych env. promennych ($ENV, $PS1, $PATH, $LD_PRELOAD) nebo souboru
> > ($HOME/.bashrc) zpusobit krajne nestandardni chovani privilegovanych
> > procesu spustenych z su
K tomu bych dodal jen to, ze dalsi potencionalne nebezpecna promenna, na
kterou se casto zapomina je treba i promenna IFS, i kdyz nevim jesli to uz
dnes neni obsolet, jelikoz novejsi shelly snad uz tuto promennou nastavuji
na standardni hodnoty.
> Jeste mne napadlo, ze asi to nejjednodussi, co by mohl virus udelat, je
> asi toto:
>
> - virus se podiva, jaky shell pouziva root (polozka v /etc/passwd) a
> pripravi si jeho infikovanou kopii treba v /var/tmp/.infected.sh
> - virus ceka, az uzivatel napise "su" ("su -", "su root" ...) a za prikaz
> si prida parametr "-c /var/tmp/.infected.sh" (coz uzivatel nevidi).
Ano, ale pozna se se mu nezmenil login :-)) A to by ho melo kopnout.
> - uzivatel nic nepozna, vse se chova jako doposud a virus se muze sirit s
> pravomocemi roota.
>
> Budu koncit, uz TO po mne ZASE chce susenku ...
>
> --
> < Martin Mačok martin.macok na underground.cz <iso-8859-2>
> \\ http://kocour.ms.mff.cuni.cz/~macok/ http://underground.cz/ //
> \\\ -= t.r.u.s.t n.0 o.n.e =- ///
>
> --------------------------------------------------------------------------
-
> Meta-FAQ (odhlášení, archív, FAQ a další):
http://www.linux.cz/mailing-list
>
Další informace o konferenci Linux