The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

07.09.2016 09:49  Выявлен новый rootkit для Linux, подменяющий функции libc

Компания Trend Micro выявила новое семейство руткитов, получивших название Umbreon в честь одноимённого покемона, который прячется в темноте. Следы разработки Umbreon прослеживаются с начала 2015 года, а сейчас руткит появился в свободной продаже на черном рынке. Umbreon может быть установлен атакующими на Linux-системы на базе архитектур x86, x86_64 и ARM, в том числе на встраиваемые платформы, такие как платы Raspberry Pi и беспроводные маршрутизаторы.

Umbreon относится к руткитам третьего кольца защиты, функционирующим только в пространстве пользователя. Для скрытия своего присутствия, вместо перехвата системных вызовов на уровне ядра, Umbreon осуществляет подмену функций стандартной библиотеки libc. Подмена функций осуществляется на этапе связывания, путём подстановки библиотеки /usr/share/libc.so.*.[i686|x86_64|v6l].ld-2.22.so, переопределяющей функции libc. Библиотека прописывается в конфигурационный файл "/etc/ld.so.*" (где "*" случайный набор букв, например, /etc/ld.so.thVkfEQ), который, в свою очередь, подменяет в загрузчике /lib/x86_64-linux-g строку "/etc/ld.so.preload", что приводит к автоматической загрузке вредоносной библиотеки при запуске любого исполняемого файла.

Руткит предоставляет обработчики для функций работы с файлами (open, opendir, read, write, chdir и т.п.), записи в лог (syslog, audit*), запуска исполняемых файлов (execve, execvp), аутентификации через PAM (pam_authenticate, pam_open_session), работы с базой пользователей (getpwnam, getpgid, getpwuid), работы с процессами (get_procname, kill), обработки сетевых соединений (socket, netstat) и т.д. Всего перехватывается более 100 функций.

Контролируя выполнение данных функций Umbreon тщательно вырезает из потока данных информацию о своих компонентах (например, не показывает свои файлы и скрывает процессы), а также обеспечивает скрытый вход (работает в том числе через SSH), путём перехвата функций PAM и добавления скрытого пользователя, присутствие которого в /etc/passwd вырезается из вывода при выполнении операций чтения. Следы вычищаются достаточно качественно, например, дополнительные настройки компоновщика вырезаются даже из вывода трассировки, т.е. не видны при использовании таких инструментов как strace. Так как Umbreon не в состоянии перехватить системный вызов ptrace(), чистка производится на этапе вывода результата, через перехват функций vprintf, __vfprintf_chk и fputs_unlocked.

В комплект также входит бэкдор Espereon, названный в честь покемона с большими ушами. Espereon обеспечивает обратное сетевое соединение к хосту атакующего при обнаружении в TCP-пакетах определённого ключа активации. Espereon постоянно слушает сетевой трафик на сетевом интерфейсе при помощи libpcap и скрывается под прикрытием Umbreon. Скрываются не только процессы и трафик, но и сетевая активность, благодаря перехвату функций got_packet и pcap_loop.

Для обнаружения и удаления руткита можно использовать инструменты анализа содержимого ФС, напрямую обращающиеся через системные вызовы, минуя функции libc. Также можно загрузиться c LiveCD, примонтировать дисковые разделы и оценить наличие подозрительных файлов /etc/ld.so.*, /usr/lib/libc.so.* и /usr/share/libc.so.*.

  1. Главная ссылка к новости (http://blog.trendmicro.com/tre...)
  2. OpenNews: Представлены работающие на GPU прототипы руткита и кейлоггера для Linux
  3. OpenNews: Для Linux выпущен руткит принципиально нового типа
  4. OpenNews: Новый rootkit для Linux, осуществляющий подстановку вредоносного кода в HTTP-трафик
  5. OpenNews: Для платформы Android продемонстрирован прототип руткита
  6. OpenNews: Новый способ внедрения rootkit в Linux ядро
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: rootkit
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.1, Аноним, 10:32, 07/09/2016 [ответить] [смотреть все]
  • –8 +/
    Ну всё, теперь недостаточно иметь энтерпрайс линукс со свежими обновлениями Дов... весь текст скрыт [показать]
     
     
  • 2.9, Омоним, 11:00, 07/09/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +27 +/
    Даешь Gentoo в энтерпрайз!
     
  • 2.30, Michael Shigorin, 12:57, 07/09/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Главное -- не забывать откладывать в сторонку контрольные суммы Заранее А то ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.46, ПавелС, 14:03, 07/09/2016 [^] [ответить] [смотреть все]  
  • +/
    Допустим в Debian я воспользуюсь debsums Но как узнать, что установлено левого ... весь текст скрыт [показать]
     
     
  • 4.78, Аноним, 15:46, 07/09/2016 [^] [ответить] [смотреть все]  
  • +1 +/
    https://packages.debian.org/stable/cruft
     
  • 3.100, Vombat, 06:08, 08/09/2016 [^] [ответить] [смотреть все]  
  • +/
    CRUX в помощь
     
  • 2.35, KOT040188, 13:06, 07/09/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +7 +/
    Только исходники надо перечитывать, мало ли…
     
     
  • 3.67, Andrey Mitrofanov, 14:58, 07/09/2016 [^] [ответить] [смотреть все]  
  • +23 +/
    > Только исходники надо перечитывать, мало ли…

    Как _пере_читывать??! Я ещё до половины не дочитал, уже который год пошёл!?  >-P

     
     
  • 4.95, бедный буратино, 23:23, 07/09/2016 [^] [ответить] [смотреть все]  
  • +/
    тоже мне, проблема я вот перечитал ПСС как теперь скомпилировать программу парт... весь текст скрыт [показать]
     
  • 3.117, Andrey Mitrofanov, 13:42, 09/09/2016 [^] [ответить] [смотреть все]  
  • +/
    Никому верить нельзя, Debian-у https www trueelena org computers articles cand... весь текст скрыт [показать]
     
     
  • 4.118, Andrey Mitrofanov, 13:45, 09/09/2016 [^] [ответить] [смотреть все]  
  • +1 +/
    >контразвеТчик

    ах, я негодяй

     
     
  • 5.119, тоже Аноним, 14:23, 09/09/2016 [^] [ответить] [смотреть все]  
  • +1 +/
    Тогда уж "контРазвеТчик" - ошибки-то две...
     
  • 2.36, IZh., 13:06, 07/09/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +12 +/
    А доверенный компилятор у вас есть? ;-) А то у компилятора такой простор для встраивания руткитов в компилируемые проекты. ;-)
     
     
  • 3.38, Mihail Zenkov, 13:19, 07/09/2016 [^] [ответить] [смотреть все]  
  • +9 +/
    И процессор к нему, а то нынче модно всякое непотребство прямо в процессор встраивать. А потом поди угадай, что он вместо твоего доверенного компилятор запустил/выполнил ;)

     
     
  • 4.40, IZh., 13:32, 07/09/2016 [^] [ответить] [смотреть все]  
  • +4 +/
    Именно Доверенный процессор без бэкдоров в виде недокументированных команд и ... весь текст скрыт [показать]
     
     
  • 5.43, Mihail Zenkov, 13:44, 07/09/2016 [^] [ответить] [смотреть все]  
  • +16 +/
    Господа!
    Фирма "IZh & Zenkoff" готова предположить вам радикальное решение! Не доверяйте свои расчеты западным процессором и уж тем более китайским калькуляторам. Только отечественные счеты нашего производства (с костяшками из сибирского кедра), гарантируют вам прозрачность и стабильность всех ваших расчетов! Также наша фирма поддерживает идею Open-source hardwar и к каждому экземпляру прилагается полный чертеж изделия со всей необходимой пояснительной документацией.
     
     
  • 6.49, тоже Аноним, 14:06, 07/09/2016 [^] [ответить] [смотреть все]  
  • +1 +/
    Так перестарались с секьюрностью, что получили никакую интеграцию.
     
  • 6.74, Аноним, 15:17, 07/09/2016 [^] [ответить] [смотреть все]  
  • +6 +/
    >  Только отечественные
    > счеты нашего производства (с костяшками из сибирского кедра), гарантируют вам прозрачность

    А можно костяшки и все остальное тоже прозрачным, для дополнительной прозрачности (а то мало ли какие там жучки с сибирского кедра останутся!)?


     
     
  • 7.87, тоже Аноним, 18:39, 07/09/2016 [^] [ответить] [смотреть все]  
  • +/
    Недостаточно импортозаместительно Нужно костяшки заменить на Эльбрусы - подд... весь текст скрыт [показать]
     
  • 6.85, Аноним, 18:13, 07/09/2016 [^] [ответить] [смотреть все]  
  • +1 +/
    Счёты - это как айфон гламурно и бестолково Лучше Электронику МК-85 клонируйте... весь текст скрыт [показать]
     
  • 5.50, Анонимко, 14:06, 07/09/2016 [^] [ответить] [смотреть все]  
  • +1 +/
    Радио-86КР к Вашим услугам Собственная сборка и прошивка обеспечит гарантирован... весь текст скрыт [показать]
     
     
  • 6.51, Michael Shigorin, 14:12, 07/09/2016 [^] [ответить] [смотреть все]  
  • +1 +/
    > 86КР
     
     
  • 7.108, JL, 18:34, 08/09/2016 [^] [ответить] [смотреть все]  
  • +/
    86РК
     
  • 6.98, Аноним, 02:57, 08/09/2016 [^] [ответить] [смотреть все]  
  • +1 +/
    Спектрумы лучше.
     
  • 6.106, Ordu, 14:50, 08/09/2016 [^] [ответить] [смотреть все]  
  • +/
    https://www.youtube.com/watch?v=z71h9XZbAWY
     
  • 1.2, Аноним, 10:36, 07/09/2016 [ответить] [смотреть все]  
  • +/
    Существует программа patchelf, позволяющая запускать программы от новых систем в... весь текст скрыт [показать]
     
     
  • 2.24, Кирилл, 12:07, 07/09/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Скорее всего так, но возникает вопрос с его корректной установкой При установ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.31, Mihail Zenkov, 12:59, 07/09/2016 [^] [ответить] [смотреть все]  
  • +2 +/
    невозможно - слишком смелое утверждение Точнее будет сказать мало вероятно ... весь текст скрыт [показать]
     
  • 1.3, Аноним, 10:38, 07/09/2016 [ответить] [смотреть все]  
  • +13 +/
    Вот что значит тащить всякую дрянь в систему, вместо установки пакетов из доверенных источников.
     
     
  • 2.21, lucentcode, 11:55, 07/09/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    Огласите список, please?
     
     
  • 3.27, Crazy Alex, 12:47, 07/09/2016 [^] [ответить] [смотреть все]  
  • +1 +/
    Debian main
     
  • 3.54, Аноним, 14:18, 07/09/2016 [^] [ответить] [смотреть все]  
  • +/
    Список дряни? Ну сам найдешь, не маленький.
     
  • 3.64, Аноним, 14:44, 07/09/2016 [^] [ответить] [смотреть все]  
  • +6 +/
    1. Skype
    2. Flash player
    3. Google Chrome
    4. Oracle JVM
     
     
  • 4.70, Аноним, 15:09, 07/09/2016 [^] [ответить] [смотреть все]  
  • +5 +/
    5. Steam (и игори)
     
  • 1.5, Аноним, 10:46, 07/09/2016 [ответить] [смотреть все]  
  • +/
    >инструменты анализа содержимого ФС

    Огласите список плз?

     
     
  • 2.8, SysA, 10:58, 07/09/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    Прочитай оригинал статьи - там и примеры есть ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.18, Аноним, 11:44, 07/09/2016 [^] [ответить] [смотреть все]  
  • +1 +/
    Там проприетарщина Хочется чего-то штатного, что есть в репозиториях Помню был... весь текст скрыт [показать]
     
     
  • 4.66, SysA, 14:56, 07/09/2016 [^] [ответить] [смотреть все]  
  • +/
    Я не имел ввиду путь скрипт-кидди кстати, а почему ты собираешься верить сторон... весь текст скрыт [показать]
     
     
  • 5.76, Аноним, 15:24, 07/09/2016 [^] [ответить] [смотреть все]  
  • +5 +/
    А попытска чистки скомпрометированной системы значит не путь скрипт-кидди ... весь текст скрыт [показать]
     
  • 2.47, Аноним, 14:05, 07/09/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +2 +/
    Вы всерьез надеетесь на нормальный ответ Тут не так давно один опеннетный спец... весь текст скрыт [показать] [показать ветку]
     
  • 1.11, Аноним, 11:20, 07/09/2016 [ответить] [смотреть все]  
  • –4 +/
    Пользователи NixOS смотрят с недоумением.
     
     
  • 2.33, ТТТ, 13:03, 07/09/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +2 +/
    2,5 человека?
     
     
  • 3.53, nop, 14:13, 07/09/2016 [^] [ответить] [смотреть все]  
  • –1 +/
    Все население Лихтенштейна!
     
  • 2.55, Аноним, 14:20, 07/09/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    NixOS - это где пакеты можно устанавливать в домашнюю директорию пользователя ... весь текст скрыт [показать] [показать ветку]
     
  • 2.56, Аноним, 14:22, 07/09/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    А что там у них? libc.dll?
     
  • 2.59, rshadow, 14:26, 07/09/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    Пользователи BolgenOS тоже.
     
     
  • 3.71, Аноним, 15:10, 07/09/2016 [^] [ответить] [смотреть все]  
  • +2 +/
    Антивирус Попова защитит от любого руткита Я гарантирую это ... весь текст скрыт [показать]
     
  • 1.12, Kroz, 11:20, 07/09/2016 [ответить] [смотреть все]  
  • –1 +/
    А как он размножается?
    Что должно случиться, чтобы он появился у меня на компьютере?
     
     
  • 2.17, Andrey Mitrofanov, 11:39, 07/09/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +3 +/
    Поняшка развеет Ваши сомнения --вирус это далеко не любая малварь --Nobody ca... весь текст скрыт [показать] [показать ветку]
     
  • 2.19, Аноним, 11:45, 07/09/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +9 +/
    > А как он размножается?
    > Что должно случиться, чтобы он появился у меня на компьютере?

    Это руткит, он не размножается, а устанавливается после взлома.

     
  • 2.52, Нанобот, 14:13, 07/09/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    вообще-то руткиты - не вирусы, они не размножаются их устанавливают хакеры, пол... весь текст скрыт [показать] [показать ветку]
     
  • 1.15, iZEN, 11:25, 07/09/2016 [ответить] [смотреть все]  
  • –2 +/
    Этот руткит может быть переписан для FreeBSD?
     
     
  • 2.26, Andrey Mitrofanov, 12:16, 07/09/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +10 +/
    > Этот руткит может быть переписан для FreeBSD?

    Думаешь, он под GPL и прямо-таки надо именно переписывать?! Кругом враги!

     
     
  • 3.29, Mihail Zenkov, 12:50, 07/09/2016 [^] [ответить] [смотреть все]  
  • +2 +/
    Смешно Но если серьезно - то да, скорее всего нужно добавлять поддержку BSD lib... весь текст скрыт [показать]
     
     
  • 4.69, Andrey Mitrofanov, 15:07, 07/09/2016 [^] [ответить] [смотреть все]  
  • +1 +/
    Пасиб 1 ещё момент оно может быть закрытое и б3дешники снова будут перепи... весь текст скрыт [показать]
     
     
  • 5.86, Аноним, 18:18, 07/09/2016 [^] [ответить] [смотреть все]  
  • +1 +/
    Чувак, тот, кто убедил тебя, что шутка повторённая дважды становится смешнее, оч... весь текст скрыт [показать]
     
     
  • 6.101, Andrey Mitrofanov, 09:56, 08/09/2016 [^] [ответить] [смотреть все]  
  • +1 +/
    Следи за тредом, д-6-л После слов Но если серьезно я уже разговаривал с челов... весь текст скрыт [показать]
     
  • 2.58, Аноним, 14:25, 07/09/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • –1 +/
    Этот руткит может быть переписан для FreeBSD на Java.
     
  • 1.16, Mihail Zenkov, 11:26, 07/09/2016 [ответить] [смотреть все]  
  • +5 +/
    > Для обнаружения и удаления руткита можно использовать инструменты анализа содержимого ФС, напрямую обращающиеся через системные вызовы, минуя функции libc.

    Или держать в системе статически линкованый busybox.

     
     
  • 2.32, Michael Shigorin, 13:00, 07/09/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • –2 +/
    Кстати, да Как вариант, http altlinux org rescue -- заодно там одна из наибол... весь текст скрыт [показать] [показать ветку]
     
  • 2.120, Аноним, 19:05, 12/09/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • –1 +/
    Из него средство forensic хилое, да и пропатчить его можно ... весь текст скрыт [показать] [показать ветку]
     
  • 1.20, Аноним, 11:45, 07/09/2016 [ответить] [смотреть все]  
  • +4 +/
    Ну наконец хоть что-то интересное А то достали уже пугать примитивнейшими троян... весь текст скрыт [показать]
     
     
  • 2.37, for mother russia, 13:09, 07/09/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +3 +/
    Скука Троян, перехвативший сотню функций в kernel32 dll, вызвал бы лишь жалос... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.73, Andrey Mitrofanov, 15:17, 07/09/2016 [^] [ответить] [смотреть все]  
  • –1 +/
    Делом занят, ему не до Вашего вранья Он переписывает unix-совместимую ОС, а не ... весь текст скрыт [показать]
     
  • 2.42, sage, 13:43, 07/09/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    Jynxkit с подобной функциональностью появился в 2011, потом был Jynx2, Azazel.
     
  • 1.25, iPony, 12:07, 07/09/2016 [ответить] [смотреть все]  
  • +12 +/
    Теперь, оставив открытый shh наружу, можно будет ловить покемонов
     
  • 1.34, freehck, 13:03, 07/09/2016 [ответить] [смотреть все]  
  • +2 +/
    Хм. Автор руткита сидит на опеннете? "А я на чёрном рынке хорошенький руткит продаю, приходите посмотреть", - это, конечно, интересная новость. :)
     
     
  • 2.39, тоже Аноним, 13:27, 07/09/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +6 +/
    Сидит на ОпенНете, а работает на ТрендМикро. Вот вы его и вычислили!
     
  • 1.41, нет, 13:42, 07/09/2016 [ответить] [смотреть все]  
  • –3 +/
    То, что поколение покемонов прочитало про LD_PRELOAD, это радует но то, что резу... весь текст скрыт [показать]
     
     
  • 2.82, angra, 17:12, 07/09/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +10 +/
    За час "любой linux программист" даже грамотное техническое задание не составит под эту задачу. Ты похоже не представляешь сколько надо времени, чтобы вдумчиво прочитать доку по всем функциям libc, проанализировать параметры и возращаемые значения, после чего составить список что, где и как надо заменить.
     
     
  • 3.97, любой линукс программист, 23:45, 07/09/2016 [^] [ответить] [смотреть все]  
  • –5 +/
    лолчик, все функции либс при написании этого эксплойта никто не прочитал, инфа 1... весь текст скрыт [показать]
     
     
  • 4.102, Очередной аноним, 11:24, 08/09/2016 [^] [ответить] [смотреть все]  
  • +2 +/
    ты похоже не читатель, ты писатель Написано же Всего перехватывается более ... весь текст скрыт [показать]
     
     
  • 5.103, нет, 11:34, 08/09/2016 [^] [ответить] [смотреть все]  
  • –4 +/
    не нужно 100 функций Это для веса ... весь текст скрыт [показать]
     
     
  • 6.104, arisu, 12:02, 08/09/2016 [^] [ответить] [смотреть все]  
  • +2 +/
    вау, вау, Иксперд, нидови нас своим МегаЗнанием!
     
  • 6.105, Mihail Zenkov, 12:40, 08/09/2016 [^] [ответить] [смотреть все]  
  • +/
    Так напиши мене такой rootkit прячущий процесс, файлы, файловые операции, сетев... весь текст скрыт [показать]
     
     
  • 7.107, angra, 15:57, 08/09/2016 [^] [ответить] [смотреть все]  
  • +5 +/
    У меня стойкое впечатление, что нет и любой линукс программист просто не пон... весь текст скрыт [показать]
     
     
  • 8.122, Аноним, 19:12, 12/09/2016 [^] [ответить] [смотреть все]  
  • +/
    Это реально либа которая работает через LD_PRELOAD По уровню технологий - бамбу... весь текст скрыт [показать]
     
     
  • 9.125, нет, 15:48, 13/09/2016 [^] [ответить] [смотреть все]  
  • +/
    да кто читать-то будет, про эту новость уже забыли Молодёжь, обиделись, заминус... весь текст скрыт [показать]
     
  • 3.121, Аноним, 19:10, 12/09/2016 [^] [ответить] [смотреть все]  
  • –1 +/
    Не позорь собой линукс-программистов Я библу под LD_PRELOAD перехватывающую ope... весь текст скрыт [показать]
     
     
  • 4.123, Mihail Zenkov, 21:01, 12/09/2016 [^] [ответить] [смотреть все]  
  • +/
    Я вот тоже за час наваял библиотеку i2c для uC - вывод на LCD работал нормально ... весь текст скрыт [показать]
     
  • 4.124, arisu, 12:08, 13/09/2016 [^] [ответить] [смотреть все]  
  • +/
    а теперь ядро давай. за день справишься — с твоими‐то умениями!
     
  • 1.44, Анончег, 13:47, 07/09/2016 [ответить] [смотреть все]  
  • –3 +/
    Я правильно понимаю, что для внедрения данного руткита необходимо иметь права на... весь текст скрыт [показать]
     
     
  • 2.45, Michael Shigorin, 13:50, 07/09/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +3 +/
    Это другая часть задачи -- эксплойт уязвимости класса хотя бы local root ... весь текст скрыт [показать] [показать ветку]
     
  • 2.77, Andrey Mitrofanov, 15:25, 07/09/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Ни читать-то они не http www opennet ru openforum vsluhforumID3 109035 html 11... весь текст скрыт [показать] [показать ветку]
     
  • 1.48, Нанобот, 14:05, 07/09/2016 [ответить] [смотреть все]  
  • –4 +/
    вопрос к знатокам а на ARM вообще есть ring3 ... весь текст скрыт [показать]
     
     
  • 2.61, eganru, 14:30, 07/09/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    в arm есть уровни привилегий: user, kernel, hypervisor.
     
  • 2.62, Аноним, 14:31, 07/09/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Ну это, скорее всего, образно сказано Имеется ввиду ring с наименьшими привилег... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.63, eganru, 14:42, 07/09/2016 [^] [ответить] [смотреть все]  
  • +1 +/
    скорее не следовало вообще упоминать кольцо защиты достаточно было упомянуть то... весь текст скрыт [показать]
     
  • 1.60, yaa, 14:26, 07/09/2016 [ответить] [смотреть все]  
  • +2 +/
    Я такую хрень видал на SS (SPARCstation), Solaris, где-то в 00-02...
    Ставилась по сетке через дыру в lp daemon (уже не помню, как он там звался).

    Ничего нового в подлунном мире...

     
  • 1.68, Mirraz, 15:03, 07/09/2016 [ответить] [смотреть все]  
  • +1 +/
    Нужен рут, а его ещё получить надо. Беспокоиться не о чем.
     
     
  • 2.75, Аноним, 15:19, 07/09/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Следующая новость будет Обнаружена уязвимость в bash позволяющая поднять приви... весь текст скрыт [показать] [показать ветку]
     
  • 1.79, arisu, 16:18, 07/09/2016 [ответить] [смотреть все]  
  • +2 +/
    опять новости про какую‐то проприетарщину! где ссылка на репозиторий? как собрать? куда патчи слать? тьфу.
     
  • 1.80, Случайный_гость, 16:35, 07/09/2016 [ответить] [смотреть все]  
  • +2 +/
    "Umbreon может быть установлен..." - опять собирать вручную и устанавливать))), какая, опасная, малварь!!! )))))))))).
     
     
  • 2.111, Аноним, 01:57, 09/09/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    Если информация в Вашей системе будет представлять существенную ценность, то обя... весь текст скрыт [показать] [показать ветку]
     
  • 1.88, XoRe, 18:55, 07/09/2016 [ответить] [смотреть все]  
  • +/
    > относится к руткитам третьего кольца защиты, функционирующим только в пространстве пользователя
    > Библиотека прописывается в конфигурационный файл "/etc/ld.so.*"

    Как он в /etc от юзера что-то запишет?

     
     
  • 2.89, Аноним84701, 19:18, 07/09/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    http www catb org jargon html U userland html Ваш Кэп ... весь текст скрыт [показать] [показать ветку]
     
  • 2.90, Анонимум, 19:29, 07/09/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    Не путайте пространство пользователя с привелегиями пользователя.
     
  • 1.94, Аноним, 22:47, 07/09/2016 [ответить] [смотреть все]  
  • –1 +/
    Мда помнится, когда-то я слепил флэшку с BartPE и развлекался прибиванием скр... весь текст скрыт [показать]
     
  • 1.99, Аноним, 03:29, 08/09/2016 [ответить] [смотреть все]  
  • –1 +/
    Также можно загрузиться c LiveCD, примонтировать дисковые разделы и оценить нал... весь текст скрыт [показать]
     
  • 1.109, Аноним, 23:54, 08/09/2016 [ответить] [смотреть все]  
  • –1 +/
    Всё, теперь буду ходить в интернет только с плейстейшен Там же нет руткитов Ве... весь текст скрыт [показать]
     
     
  • 2.112, anonymous, 10:38, 09/09/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Выявлен новый rootkit для Linux, подменяющий функции libc... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.113, anonymous, 10:40, 09/09/2016 [^] [ответить] [смотреть все]  
  • +/
    DIR dp struct dirent ep dp opendir etc if dp NULL ... весь текст скрыт [показать]
     
  • 3.114, Andrey Mitrofanov, 10:43, 09/09/2016 [^] [ответить] [смотреть все]  
  • +1 +/
    Ходи с венды -- там и root-а нету ... весь текст скрыт [показать]
     
  • 1.115, Аноним, 11:03, 09/09/2016 [ответить] [смотреть все]  
  • –1 +/
    "Никому нельзя верить, врут все" - Хаус.
     
     
  • 2.116, Andrey Mitrofanov, 11:51, 09/09/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    >врут все" - Хаус.

    Фу-фу. https://otvet.mail.ru/answer/179135965

     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2017 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor