Исходное сообщение
"Выявлены два ботнета, созданные из серверов на базе Linux" Отправлено Аноним, 04-Сен-14 10:13
> эти придурки научаться грамотно внедрятся в систему, модифицируя исполняемые файлы ? Нормальный подход для эффективного перехвата вызовов - LD_PRELOAD или ядерный модуль. И бинари патчить не надо, и любой вызов можно переколпачить. Кому для отладки и изучения, кому для втирания очков окружающим. > Ведь для этого не нужно патчить исполняемый файл, а достаточно модифцировать исходники, Учись, лох: $ LD_PRELOAD=./mylib.so /bin/bash ... $ cat /etc/passwd Process 24742 attempted to open the file: /etc/passwd cat: /etc/passwd Как видишь, я не менял ни бита в bash, и тем более не геморроился с его компилом. НО он и его потомок cat не могут пойти и открыть /etc/passwd. Потому что либа решила что нефиг. И в своей реализации open() отлупила -EPERM, хоть это и неправда :). Аналогично можно и при чтении из файла вернуть какую-нибудь требуху. То что ты посчитал чексумм - это замечательно. А кто сказал что это были вообще данные того файла который ты попросил? Ты же понимаешь, что считалке чексумм можно показывать правильный файл, а что там на самом деле по факту - ну ты понял. > потереть все логи какие только можно. Такая наглая диверсия заметна даже не очень компетентному админу. А вот упоминание себя - уважающие себя хаксоры из логов честно выпилят. > Когда научатся скрывать не только следы в виде файлов но и скрывать > процессы перехватывая системные вызовы от всяких top, netstat, who и прочего? Ну вон тебе пример с LD_PRELOAD. Любой школьник за 15 минут такую либу может написать, если не совсем тyпой. Почему эти "мегахакиpы" так не могут - не знаю. Тyпые наверное.