[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: md5sum на packages.debian.org

On Sun, Jul 20, 2014 at 11:20:26PM +0400, Dmitrii Kashin wrote:
> Eugene Berdnikov <bd4@protva.ru> writes:
...
> >  Я бы скормил этот файл антивирусу и/или отправил на исследование в
> >  ДрВеб или Касперскому. Более того, желательно проверить всю машину
> >  каким-нибудь антируткитом и подумать о переустановке системы.
> 
> Допустим, что это руткит. Раз переустановка пакета не возымела эффекта -
> значит зловред не (только) там. Вопрос - где именно?

 Скорее всего, руткитовский код сидит в нескольких системных демонах,
 которые обязательно запущены в любой системе. В этом смысле exim4 очень
 хорош как кандидат на подселение, вместе с init, udevd, inetd, sshd...

> Допустим, что он (где бы там ни был) отслеживает изменение файла
> /usr/sbin/exim4 и модифицирует его. Раз файл в пакете - правильный, то
> давайте его возьмём и тупо подменим тот, который сейчас лежит в системе,
> при этом в то же время натравим на него, к примеру, `watch ls -l'. Если
> зловред попытается изменить файл - то тем самым себя скомпрометирует, и
> можно будет отловить, где же он там сидит.

 Лучше чем watch является решение с inotify, потому что можно повесить
 триггер прямо на событие модификации файла (IN_MODIFY). К сожалению,
 API inotify не даёт pid процесса, который производит обращение к файлу,
 но зато реакция настолько быстрая, что можно успеть просканировать
 дескрипторы в /proc и найти вредителя. Только нужно понимать, что
 руткиты имеют обыкновение подменять системный утиль, чтобы прятаться,
 так что нужно сканировать надёжными средствами, лучше своим кодом.
 Для организации триггеров inotify можно взять пакет incron.

 Более правильным решением был бы ядерный аудит, но я не знаю, как нынче
 обстоят дела с ним в дебиане... вижу что auditd в репах имеется.
-- 
 Eugene Berdnikov
Reply to: