LINUX.ORG.RU
НовостиБезопасность

Adore для ядра 2.6 готов


0

0

Оубликован анонс руткита для ядер 2.6 - adore-ng.
Такие фичи как скрытие сокетов, процессов, файлов, фильтрация syslog и
[uw]tmp - замечательно работают на новом ядре :(

http://stealth.7350.org/rootkits/ador...

>>> Подробности



Проверено: ivlad
NetBSD включила поддержку Interix
bricscad идет на помощь!

Блин, заждалси прямо ;)

MrBool
()

ага, все время чувствовал что чего-то мне не хватает. теперь душа спокойна :))))

anonymous
()

> Такие фичи как скрытие сокетов, процессов, файлов, фильтрация syslog и [uw]tmp - замечательно работают на новом ядре :(

Да, благодаря LSM для этого даже особо стараться не надо. :(

Dselect ★★★
()

Наши ядра настолько круты, что трояны под него писать не трудно. Покупайте наши ядра.

anonymous
()
Ответ на: комментарий от anonymous

RHAS3 :) хотя я переписал и под него ;)

anonymous
()
Ответ на: комментарий от Rost

> троянец находится элементарно через /dev/mem

Фиг. Он добавляет свой hook на open и возвращает то, что ему хочется.

Dselect ★★★
()
Ответ на: комментарий от Dselect

>Фиг. Он добавляет свой hook на open и возвращает то, что ему хочется.

ну хз что он там добавляет, но у меня все находится. сам проверял. иначе я бы не стал писать здесь

Rost ★★★★★
()

Linux - R.I.P. :D

anonymous
()

линух -- на десктоп!
виндусь -- на сервер!
ура!

anonymous
()
Ответ на: комментарий от Rost

> ну хз что он там добавляет, но у меня все находится. сам проверял.

Странно... Значит, он глючит :)

Вообще-то, все такие гадости перво-наперво блокируют доступ к /dev/mem и /dev/kmem. С 2.4 и 2.2 для этого надо было хитро извращаться, а для 2.6 надо написать свой hook и добавить его в register_security.

Dselect ★★★
()
Ответ на: комментарий от anonymous

> Наши ядра настолько круты, что трояны под него писать не трудно.

Откуда ядру знать, ЧТО в него пытаются засунуть -- DTE или этот самый Adore?

P.S.

Module stacking sucks.

Dselect ★★★
()
Ответ на: комментарий от Dselect

Я и говорю - круты, в прямом смысле.

anonymous
()
Ответ на: комментарий от Rost

Ув. Rost, расскажите подробнее, плиз... каким таким образом через /dev/mem адор находите? что нить типа cat /tmp/0 && grep /tmp/0 "adore" ?? или прям уВсю памьять дизасемблируете каким нить жутко вумным способом определяя где и что находиться?)

anonymous
()
Ответ на: комментарий от anonymous

> каким таким образом через /dev/mem адор находите?

Скорее всего, ищет IDT и сравнивает с System.map.

Dselect ★★★
()
Ответ на: ... от x97Rang

про ядро без CONFIG_MODULES=y

Дык /dev/kmem никто не отменял ( к сожалению ).

Dselect ★★★
()
Ответ на: комментарий от x97Rang

> каким таким образом через /dev/mem адор находите?
Скорее всего, ищет IDT и сравнивает с System.map.
Dselect

^^
адорка через vfs работает, не вижу связи с IDT.
поэтому смотрим в System.map адреса call'ов
readdir, tcp4_seq_show и сравниваем с текущими,
по-моему тривиально для админа средней руки.
Или нет?

anonymous
()
Ответ на: комментарий от anonymous

полезный совет - юзайте на тачанках одно ядро, System.map
на винте не держите, скопируйте его на флопик или флэшку.
И вообще, ядро лучше не держать под /, настроить бут с
флэшки несложно ;). После загрузки отключать и ложить в карман.
:).

anonymous
()
Ответ на: комментарий от anonymous

> полезный совет - юзайте на тачанках одно ядро, System.map > на винте не держите, скопируйте его на флопик или флэшку. > И вообще, ядро лучше не держать под /, настроить бут с > флэшки несложно ;). После загрузки отключать и ложить в карман. > :)

Может еще разбить всю систему на много-много флэшек и нужную из сейфа доставать по мере необходимости?

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
NetBSD включила поддержку Interix
Безопасность
bricscad идет на помощь!