detekce su exploitu
Ivo Panacek
ivop na regionet.cz
Středa Červen 5 18:30:49 CEST 2002
On St, 2002-06-05 at 18:14, Jirka Kosina wrote:
> On 5 Jun 2002, Ivo Panacek wrote:
>
> > Netusite nekdo, zde/kde najit nejaky (open/free) sw
> > na detekci (= odstraneni) tohohle exploitu?
> > http://vil.nai.com/vil/content/v_99394.htm
>
> Tak tam to prilis do podrobnosti rozebrano neni, co jsem tam tak letmo
> koukal.
>
> Nicmene pokud se tam pise, ze ten trojan modifikuje /bin/su, tak pokud Vam
> jde o ciste zjisteni, jestli ho mate v systemu, ze porovnate /bin/su z
> identicke distribuce s tim, ktery mate na systemu (ovsem za predpokladu,
> ze jste si /bin/su nekompiloval sam).
Jasne, tyhle vsechny veci jsem udelal jako prvni.
Kontrola ls, ps, su, netstat, lsmod, rmmod, ... sedelo !!!
Domnivam se, ze jsem mu smazl vse, co se dalo.
V /usr/games/kit sedelo adore a dgbot-0.5.
Nicmene pote, co jsem vse (ja vim, vse ne) prohlidl,
(vcetne crona, vseho co spousti, modulu, ...),
tak se tam "nahle" objevil zase (/tmp/xp, ...).
Nevim (zatim), zda tam vlezl po siti pres diru, ktera
me nenapadla, nebo nekde cihal. Ale kdo ho spustil?
Prohlidnuti vseho na suid bity, kontrola /dev, /tmp,
takove ty figle s adresarem '...' jsem samozrejme delal.
ivo
Další informace o konferenci Linux