[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: grep ohne fifo-"Dateien"

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Am Freitag, 11. Januar 2002 21:55 schrieb Eckhard Sebastian Maass:
> * Hendrik Naumann <hn75@gmx.de>:
> > Dieser Fehler kann sogar für eine ganz hässlichen Trojaner
> > ausgenutzt werden. Hab ich mal in einem CERT Manual gelesen.
>
> Welcher Fehler? Wie?

Ich habs wieder gefunden. 

http://www.heise.de/ix/artikel/2001/07/164/

Auf Servern die lange laufen sollte man einen cronjob haben, der das 
/tmp-Verzeichnis immer mal wieder ausmistet. D.h. Dateien die ein 
bestimmtes Alter überschreiten zu löschen.

Wenn Du das mit einem Befehl wie

$ find /tmp ... | xargs rm -f 

machst, wobei ... irgentwelche Kriterien für die Auswahl der Dateien 
darstellt (siehe man find), dann bist du auf einen sehr einfach zu 
erstellenden Trojaner anfällig.

http://www.heise.de/ix/artikel/2001/07/164/01.shtml

präpariere eine Datei mit dem Namen "/tmp/boese /etc/passwd"

$ mkdir '/tmp/boese '
$ mkdir '/tmp/boese /etc'
$ touch '/tmp/boese /etc/passwd'

und schon löscht dein nächster cronjob deine passwd :-(.

nimmst Du aber :

$ find /tmp ... -print0 | xargs -0 rm -f 

kann dir nix passieren. 

/etc/init.d/bootmisc.sh macht es über den -exec Parameter von find, 
was die andere sichere Möglichkeit ist.

Hendrik
- -- 
PGP ID 21F0AC0265C92061
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.0.3 (GNU/Linux)
Comment: For info see http://www.gnupg.org

iD8DBQE8P2QAIfCsAmXJIGERAspoAJwLuLrWMiFYBQ6+CjkrU8vnwU0yqgCfd0wD
/TcO4Oz906bOpmlPmYd0pDg=
=eBNK
-----END PGP SIGNATURE-----

-- 
-----------------------------------------------------------
Um sich aus der Liste auszutragen schicken Sie bitte eine
E-Mail an debian-user-de-request@lehmanns.de die im Subject
"unsubscribe <deine_email_adresse>" enthaelt.
Bei Problemen bitte eine Mail an: Jan.Otto@Lehmanns.de
-----------------------------------------------------------

1100 eingetragene Mitglieder in dieser Liste.
Reply to: