On Fri, 12 Mar 2010, [ISO-8859-2] Gádori Zsolt wrote: > On Fri, 12 Mar 2010 11:56:07 +0100
> > Ez meg egyetlen alkalommal lehetséges, ha fel van törve a gép, és > > beindul rajta valami bot. > > Erre hogy lehet rájönni? Már úgy értem, hogy nem az > "újrahúzomazegészetésmegjavult" baltamódszerrel, hanem tényleg > megtalálni, izolálni, és kiirtani. A detektalas egyszerubb. A legtobb rootkit lecsereli a szokott eszkozoket (ps es hasonlok), de az lsof -i tcp es lsof -i udp kiira azokat a processzeket, amelyeknek van halozati kapcsolata. A leszedes mar masik tema. Elso ranezesre eleg, ha a fenti modszerrel kideritett futtathato proginak megtalalod a munkakonyvtarat, es azt torlofd, majd reboot. Egyreszt ez nem mindig trivialis. Eleg sokszor eldugjak. Masreszt ezzel nem all helyre a rendszered, mert abban is lecserhetet egy-ket binarist vagy dll-t. Vagy md5 alapjan ellenorzod a rendszeredet, vagy ujrahuzod. Ja, es nem art rajonni, hogyan jottek be, es ezt a lehetoseget termeszetesen megszuntetni. Altalaban ket vagy tobb lepesben jonnek be. Szerencsere gyakori az, amikor pl www-data -kent felmasolnak fajlokat, vagy lopott userjelszoval ftp-znek, de a root jogot mar nem tudjak megszerezni. Udv, -=Lajbi=----------------------------------------------------------------- LAJBER Zoltan Szent Istvan Egyetem, Informatika Hivatal HTH=Hope This Helps, YMMV=Your Mileage May Vary, HAND=Have A Nice Day _________________________________________________ linux lista - linux@mlf.linux.rulez.org http://mlf2.linux.rulez.org/mailman/listinfo/linux
