- A hozzászóláshoz be kell jelentkezni
- 5762 megtekintés
Hozzászólások
subscribe
- A hozzászóláshoz be kell jelentkezni
+1
- A hozzászóláshoz be kell jelentkezni
+1
- A hozzászóláshoz be kell jelentkezni
+1
Bye Bye Nyuszifül - DigitalOcean referrer, mert az jó - <3 openSUSE, Ubuntu, KDE <3
- A hozzászóláshoz be kell jelentkezni
+1
- A hozzászóláshoz be kell jelentkezni
+1
- A hozzászóláshoz be kell jelentkezni
+1
--------------------------
Csak a viták elkerülése végett. Ha nem használok ékezetet, mobiltelefonról írok.
- A hozzászóláshoz be kell jelentkezni
+1
- A hozzászóláshoz be kell jelentkezni
subscribe
- A hozzászóláshoz be kell jelentkezni
érdekelnek a további fejlemények (azaz szabszkrájb)
http://taklertamas.blogspot.com/ ::: http://www.taklertamas.deviantart.com/ :::Be::Shell:::
- A hozzászóláshoz be kell jelentkezni
Forráskód elérhető GPL alatt? :)
-----
„Egy jó kapcsolatban a társunkat az ő dolgában kell támogatni, nem a miénkben.”
rand() a lelke mindennek! :)
Szerinted…
- A hozzászóláshoz be kell jelentkezni
:-) De akkor már legyen dokumentúció is Gnu FDL alatt!
- A hozzászóláshoz be kell jelentkezni
Ha nem is GPL alatt... A malware minta a cd00r.c-n alapul
--
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
Még szerencse, hogy nem vagyok patikus! :-)
Tudom, "Azután értem jöttek, és nem maradt senki, aki szólhatott volna."
--
Tertilla; Tisztelem a botladozó embert és nem rokonszenvezem a tökéletessel! Hagyd már abba!; DropBox
- A hozzászóláshoz be kell jelentkezni
Szerintem ez az elterelés csak rejtőzködés része, és valójában mégis a te adataidra kíváncsiak … :-]
int getRandomNumber() { return 4; } // ← aláírás
//szabályos kockadobással választva. garantáltan véletlenszerű. xkcd- A hozzászóláshoz be kell jelentkezni
akkor érdemes rákeresni a cikkben lévő két md5-re?
~~~~~~~~
deb http://deb.uucp.hu/ wheezy yazzy repack
- A hozzászóláshoz be kell jelentkezni
I'll shoot:
Lehet, hogy a leírás nagyon felületes, de nekem nem tűnik itt semmi különlegesnek ebben. Ha jól értem RAW socket-en figyel, a bejövő kopogtatásra visszanyit egy kapcsolatot és a kapott parancsokat végrehajtja.
Tehát nem igaz, hogy rendkívül rejtőzködő lenne, ugyanis root user/kernel mode rootkit nélkül nem tudja elrejteni magát.
Valamint az is csúsztatás, hogy elevated privilege nem kell neki, mert raw socket capability mégiscsak kell.
Aztán lehet, hogy mindez nem igaz, de a linkelt cikkből ez jön le.
---
Régóta vágyok én, az androidok mezonkincsére már!
- A hozzászóláshoz be kell jelentkezni
Nem magyarazzak meg, hogy miert nem latszik a netstatban. Azt se magyarazzak meg, hogy hogyan figyel raw socketen root priviledges nelkul.
Nem tunik nagyszamnak (hardcode-olt domain pff), csak hype az egesz. Kb 2 ora megirni pythonban (legalbbis azt, ami eddig kiderult rola a cikk alapjan).
- A hozzászóláshoz be kell jelentkezni
A trey által feljebb belinkelt forráskódban elmagyarázzák:
azért nem látszik netstat-ban, mert nem bind-ol portra, hanem sniff-el (nem promiscuous módban, tehát azt hiszem nem kell neki root ha high port-okról beszélünk), és a #define-okban megadott TCP portokra érkező SYN csomagokat használja port knocking-ra, utána fork-ol shell-t és bind-olja egy inetd-vel egy TCP portra. Ez alapján egy dolog látszik belőle, egy nem (?) root UID-jű PID - amit könnyebben el lehet rejteni. Ők pl. top-ot említik, bár szerintem az gyanús lenne tty nélkül :)
Utána a shell nyilván olyan UID-t kap, mint a parent-je, és oda kell valamilyen privilege escalation.
Tud olyat is, hogy a nem egy IP-ről jövő SYN csomagokat is összeadja a teljes knocking sequence-be, amivel az IDS-eket lehet kicselezni, hogy ne ismerjék fel a nyilvánvaló knocking-ot.
Elvileg kezelhet ICMP-t és UDP-t is a bonyolításért.
Szerintem ezt nem lehet egyszerűen megírni python-ban, de nem értek nagyon hozzá.
Vicces (és ezt más is megjegyzi), hogy a kód 2000-es dátumú, tehát annyira nem friss már :)
Így visszaolvasva elnézést a borzasztó sok belekevert angol szakszóért, de így érthetőbbnek tűnik.
- A hozzászóláshoz be kell jelentkezni
Igen, csak sajnos a linkelt magyarázat mellett továbbra is igaz, hogy:
1. CAP_NET_RAW capability kell. Különben nem tud listenelni raw socketen. Ez a privilege azért nem égből pottyan. Production rendszeren viszonylag kevés daemon szokott rendelkezni ilyennel (most így elsőre IDS service jut eszembe, aminél egyáltalán lehet értelme). -> Reálisan marad az, hogy root-ot kell szerezni, különben valami nagyon speciális niche-re korlátozódik az alkalmazhatósága. A rootból pedig ennél már lényegesen többet is ki lehet hozni.
2. "utána a forkolt shellt bind-olja inetd-vel egy TCP portra" -> itt meg már mutatja a netstat. Meg persze a ps is. A kernel mode rootkitek ennél sokkal jobban rejtik el magukat.
---
Régóta vágyok én, az androidok mezonkincsére már!
- A hozzászóláshoz be kell jelentkezni
Szóval kell most félteni a gépem, rohanni vírusirtót telepíteni, vagy hasonló?
- A hozzászóláshoz be kell jelentkezni
Ha Windows-t hasznalsz, mindenkeppen :)
- A hozzászóláshoz be kell jelentkezni
Turla kereső script:
while IFS=" " read -r MD5 FName; do if [[ "$MD5" = "14ecd5e6fc8e501037b54ca263896a11" || "$MD5" = "0994d9deb50352e76b0322f48ee576c6" ]] ; then echo "$FName vírusos"; fi done <<< $(find / -size 1M -type f -executable -exec md5sum {} \; 2>/dev/null)Szerk.: csak az 1 MB-nál kisebb, futtatható állományokat nézi át.
openSUSE 13.1 x86_64.- A hozzászóláshoz be kell jelentkezni
kereső script, kicsit gyorsabb, mert csak az ELF-eket olvassa végig.
használat:
perl findmd5elf / 14ecd5e6fc8e501037b54ca263896a11 0994d9deb50352e76b0322f48ee576c6 &hol tart:
kill -USR1 $!Szerk.: 19. sort megfelelően módosítva szabályozható a fájlméret.
~~~~~~~~
deb http://deb.uucp.hu/ wheezy yazzy repack
- A hozzászóláshoz be kell jelentkezni