[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: md5sum на packages.debian.org



Eugene Berdnikov <bd4@protva.ru> writes:

> On Sun, Jul 20, 2014 at 11:20:26PM +0400, Dmitrii Kashin wrote:
>> Eugene Berdnikov <bd4@protva.ru> writes:
> ...
>> >  Я бы скормил этот файл антивирусу и/или отправил на исследование в
>> >  ДрВеб или Касперскому. Более того, желательно проверить всю машину
>> >  каким-нибудь антируткитом и подумать о переустановке системы.
>> 
>> Допустим, что это руткит. Раз переустановка пакета не возымела эффекта -
>> значит зловред не (только) там. Вопрос - где именно?
>
>  Скорее всего, руткитовский код сидит в нескольких системных демонах,
>  которые обязательно запущены в любой системе. В этом смысле exim4 очень
>  хорош как кандидат на подселение, вместе с init, udevd, inetd, sshd...

Ну да, старая тема. Надо их усыплять, и искать вредителя дальше. Но
опять же, если это действительно зловред. А то мы от тредстартера как-то
мало информации получили. Меня настораживает неполнота картины.

>> Допустим, что он (где бы там ни был) отслеживает изменение файла
>> /usr/sbin/exim4 и модифицирует его. Раз файл в пакете - правильный, то
>> давайте его возьмём и тупо подменим тот, который сейчас лежит в системе,
>> при этом в то же время натравим на него, к примеру, `watch ls -l'. Если
>> зловред попытается изменить файл - то тем самым себя скомпрометирует, и
>> можно будет отловить, где же он там сидит.
>
>  Лучше чем watch является решение с inotify, потому что можно повесить
>  триггер прямо на событие модификации файла (IN_MODIFY). К сожалению,
>  API inotify не даёт pid процесса, который производит обращение к файлу,
>  но зато реакция настолько быстрая, что можно успеть просканировать
>  дескрипторы в /proc и найти вредителя.

Хм... Я, вообще говоря, надеялся, что strace поможет. А сканировать
дескрипторы /proc - это как-то... Неправильно.

> Только нужно понимать, что руткиты имеют обыкновение подменять
> системный утиль, чтобы прятаться, так что нужно сканировать надёжными
> средствами, лучше своим кодом.  Для организации триггеров inotify
> можно взять пакет incron.

Да чем хотите. Я про watch писал исключительно, чтобы выяснить факт
подмены. Как искать - это уже отдельный вопрос, который требует
отдельного обсуждения. И прежде, чем им заниматься, давайте-ка всё же
докажем, что зловред действительно существует.

>  Более правильным решением был бы ядерный аудит, но я не знаю, как нынче
>  обстоят дела с ним в дебиане... вижу что auditd в репах имеется.

Боюсь, я просто не знаю, что такое "ядерный аудит".

Attachment: pgp9zzx42mg_8.pgp
Description: PGP signature


Reply to: