https://slinkov.ru/openforum/vsluhforumID3/42597.html "Unhide (http://www.security-projects.com/?Unhide)" - утилита для обнаружения скрытых процессов и закамуфлированных TCP/UDP портов, созданных в результате активности руткитов или враждебных модулей Linux ядра. Для обнаружения скрытых процессов используется сверка содержимого /proc с выводом команды ps и данными полученными через системные вызовы. Кроме того, реализован режим обнаружения скрытых сетевых портов и процессов через полный тестовый перебор всех портов и PID номеров.<br><br>URL: http://www.security-projects.com/?Unhide<br>Новость: http://www.opennet.ru/opennews/art.shtml?num=16707<br> https://slinkov.ru/openforum/vsluhforumID3/42597.html#24 Tue, 01 Jul 2008 09:25:44 GMT &gt;Эммм... а можно системный вызов привести, для создания скрытого, таким образом, процесса.<br><br>этот функционал как раз и реализует руткит :) в ваниле вы такого не найдете %)<br><br>&gt;Видите ли коллега :) "настроек скрытности процесса" в стандартном fork/exec не существует, <br>&gt;руткит который бы это использовал должен был бы модифицировать чуть ли <br>&gt;не половину ядра, включая init, vfs и планировщик. Гоните дальше. <br><br>Сударь, гоните вы, просто потому, что понятия зеленого не имеете о сути вещей о которых говорите, ваши убеждения основаны на ваших же домыслах, это вам КАЖЕТСЯ что нужно менять что-то в init (когда он тут вообще рядом не лежит) в планировщике и в вфс, просто других частей ядра вы очевидно не знаете, а то бы написали и их.. но хуже всего то, что вы позволяете себе утверждать даже не удосужившись проверить.. вам просто кажеться и вам этого ДОСТАТОЧНО, стыдитесь, стыдитесь... а после возмите код адора (который в паблике уже черти сколько лет) и почитайте, функция реализующая сокрытие процеса по пиду занима https://slinkov.ru/openforum/vsluhforumID3/42597.html#23 Mon, 30 Jun 2008 13:39:15 GMT &gt;&gt;для примера, adore вешает свои обработчики на proc_readdir, и в зависимости от "настроек скрытности процеса" возвращает файл (/proc/PID) или нет, соответсвенно, наш скрытый пид под номером 666 <br>&gt;<br>&gt;Эммм... а можно системный вызов привести, для создания скрытого, таким образом, процесса. <br>&gt;<br><br>Видите ли коллега :) "настроек скрытности процесса" в стандартном fork/exec не существует, руткит который бы это использовал должен был бы модифицировать чуть ли не половину ядра, включая init, vfs и планировщик. Гоните дальше.<br> https://slinkov.ru/openforum/vsluhforumID3/42597.html#22 Mon, 30 Jun 2008 09:49:32 GMT &gt;для примера, adore вешает свои обработчики на proc_readdir, и в зависимости от "настроек скрытности процеса" возвращает файл (/proc/PID) или нет, соответсвенно, наш скрытый пид под номером 666 <br><br>Эммм... а можно системный вызов привести, для создания скрытого, таким образом, процесса.<br> https://slinkov.ru/openforum/vsluhforumID3/42597.html#21 Mon, 30 Jun 2008 08:33:50 GMT &gt;&gt;(lsof или top или ваша любимая юзерлевел гляделка процесов) - значит <br>&gt;&gt;есть скрытй процес <br>&gt;<br>&gt;весьма странно что у lsof именно такой-же алгоритм, или вы знаете как <br>&gt;еще получить <br>&gt;список процессов и дескрипторов, кроме как при помощи обхода каталогов и просмотра <br>&gt;файлов в /proc <br><br>в том-то и дело, что все гляделки поступают коректно, просто смотря какие есть файлы в дире /proc<br><br>для примера, adore вешает свои обработчики на proc_readdir, и в зависимости от "настроек скрытности процеса" возвращает файл (/proc/PID) или нет, соответсвенно, наш скрытый пид под номером 666 не виден в директории и его не будит видеть НИОДНА юзерлевел гляделка процесов, но в диру зайти можно ("в слепую", что и делают брутфорс перебором аля всякие чекруткиты), потому что процес есть в системе и структуры процеса есть (ибо полностью их убрать нельзя, а то ядро его шедулить не будит %)<br><br> https://slinkov.ru/openforum/vsluhforumID3/42597.html#20 Mon, 30 Jun 2008 06:39:56 GMT &gt;(lsof или top или ваша любимая юзерлевел гляделка процесов) - значит <br>&gt;есть скрытй процес <br><br>весьма странно что у lsof именно такой-же алгоритм, или вы знаете как еще получить<br>список процессов и дескрипторов, кроме как при помощи обхода каталогов и просмотра файлов в /proc<br><br>&gt;поэтому аноним, выскочка! ты должен умереть! <br><br>Я знаю, все там будем.<br><br><br> https://slinkov.ru/openforum/vsluhforumID3/42597.html#19 Mon, 30 Jun 2008 01:56:00 GMT Дык, в России это нестрашно, мы ещё на бумагах сидим.... <br>К примеру, если сервант рухнит все доки, счета можно будет восстановить по бумажкам.<br>Вот начальство и не парится, отправили транзаку за день до 16:00, в ЦБ и счастье есть, <br>а UNIX админы, Cisco инженеры мышки меняют и бумагу из принтеров вынимают.<br> https://slinkov.ru/openforum/vsluhforumID3/42597.html#18 Sun, 29 Jun 2008 20:00:05 GMT &gt;на 100 RedHat_x можно крутить чат сексуальных меньшинств, а на 3-х O'BSD <br>&gt;банковский сервер. <br><br>А то банковские сервера не ломают :).И кстати банков с рас3.14...ским администрежем не то чтобы сильно мало.<br> https://slinkov.ru/openforum/vsluhforumID3/42597.html#17 Sun, 29 Jun 2008 19:57:27 GMT &gt; Да, именно так и считаю, человек который пишет руткит и называет себя<br>&gt; при этом хакером, явный дебил.<br><br>Простите, а судьи кто?И собственно почему мнение какого-то безвестного анонима - вообще что-то значит?Если некто написал руткит, как минимум он разбирается в работе этой ОС, имеет непозорный IQ и действующий мозг.И некоторое уважение это вызывает.Игнорирование существования таких фруктов - чревато.А те кто считает себя самыми умными на поверку обычно лишь самоуверенные но глуповатые зазнайки.<br><br>&gt;Ну тогда вам ничего уже не поможет.<br><br>То есть до того как ответить сюда и схлопотать мой ответ вы стало быть вообще не знали что такое руткит?Так это следует понимать?Тогда я вероятно не ошибся в своей классификации кто есть кто.<br><br>&gt;Кроме как анализа трафика на шлюзе,<br><br>Траффик оно конечно да, но как видите есть косвенные методы отлова руткита.Если в комнате есть невидимый предмет, можно сколько угодно пялиться пытаясь его найти.А вот если ощупать все на предмет соответствия - разница в видимом и ощущаемом быс https://slinkov.ru/openforum/vsluhforumID3/42597.html#16 Sun, 29 Jun 2008 17:34:33 GMT &gt;&gt;&gt;Дык, а как тогда отличить ламероадмина от не ламеро... <br>&gt;&gt;&gt;Только по кол-ву дырок на серваке!<br>&gt;<br>&gt;Ну вот тебе пример - у одного админа-параноика стоят 3 сервера с <br>&gt;OpenBSD и он круглосуточно там руткиты ищет, а у другого - <br>&gt;сотня линуксовых с редхатом и развёрнутыми приложениями и тысячи юзеров. <br>&gt;<br>&gt;Вопрос - кто из них недоадмин? <br><br> Тут уже вопрос о важности данных на серверах. <br><br>на 100 RedHat_x можно крутить чат сексуальных меньшинств, а на 3-х O'BSD банковский сервер.<br> <br>