Вариант для распечатки |
Пред. тема | След. тема | ||
Форум Разговоры, обсуждение новостей | |||
---|---|---|---|
Режим отображения отдельной подветви беседы | [ Отслеживать ] |
Оглавление |
Сообщения | [Сортировка по времени | RSS] |
1. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..." | –23 +/– | |
Сообщение от n00by (ok), 10-Июн-22, 08:45 | ||
"Разделяемые библиотеки позволяют быстро исправлять ошибки" - говорили они, не шибко понимая, что говорят. | ||
Ответить | Правка | Наверх | Cообщить модератору |
4. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..." | +19 +/– | |
Сообщение от Аноним (4), 10-Июн-22, 08:50 | ||
ну тут дело же в полученном изначально root-доступе, а не в самом механизме динамических библиотек | ||
Ответить | Правка | Наверх | Cообщить модератору |
6. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..." | +4 +/– | |
Сообщение от n00by (ok), 10-Июн-22, 08:55 | ||
Дело в том, что я сейчас напишу "читайте Хоглунда", а эксперты по руткитам полезут в поисковик. | ||
Ответить | Правка | Наверх | Cообщить модератору |
56. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..." | +7 +/– | |
Сообщение от Аноним (56), 10-Июн-22, 12:41 | ||
Я эксперт, только что вернулся из поисковика. При чём тут хоккей?! | ||
Ответить | Правка | Наверх | Cообщить модератору |
61. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..." | +3 +/– | |
Сообщение от n00by (ok), 10-Июн-22, 13:00 | ||
Однофамилец того хоккеиста написал книжку про руткиты. Описал решаемые ими задачи и привёл примеры реализации. Переведена на русский язык. Вот здесь должно быть из неё код https://github.com/bowlofstew/rootkit.com/tree/master/hoglund | ||
Ответить | Правка | Наверх | Cообщить модератору |
100. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..." | +1 +/– | |
Сообщение от Аноним (-), 10-Июн-22, 17:54 | ||
> https://github.com/bowlofstew/rootkit.com/tree/master/hoglund | ||
Ответить | Правка | Наверх | Cообщить модератору |
102. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..." | –1 +/– | |
Сообщение от Аноним (-), 10-Июн-22, 18:38 | ||
> #include "ntddk.h" | ||
Ответить | Правка | К родителю #61 | Наверх | Cообщить модератору |
103. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..." | +2 +/– | |
Сообщение от Аноним (-), 10-Июн-22, 18:39 | ||
p.s. я буду рефрешить коменты до ответа. Я буду рефрешить коменты до ответа. Я буду рефрешить коменты до ответа... | ||
Ответить | Правка | Наверх | Cообщить модератору |
127. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..." | +/– | |
Сообщение от n00by (ok), 11-Июн-22, 09:52 | ||
Ответа кому? Смысл вести с вами дискуссии? На что вы, господа безымянные теоретики, можете сослаться для придания хоть какого-то веса своему мнению? Работа Хоглунда - какая-никакая, но уже классика. Описывает на частных примерах общие принципы, показывает развитие - каким оно было там и каким оно грядёт здесь. | ||
Ответить | Правка | Наверх | Cообщить модератору |
131. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..." | +1 +/– | |
Сообщение от InuYasha (??), 11-Июн-22, 10:22 | ||
Может, это те ребята, которые пишут "Dow do I wrote root kit for Linux?" на StackOverflow. | ||
Ответить | Правка | Наверх | Cообщить модератору |
138. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..." | +/– | |
Сообщение от n00by (ok), 11-Июн-22, 11:21 | ||
Вы хотеть, пожалуйста, посетить эту ссылка https://github.com/search?q=linux+rootkit | ||
Ответить | Правка | Наверх | Cообщить модератору |
168. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..." | +/– | |
Сообщение от Аноним (-), 11-Июн-22, 19:46 | ||
> Ответа кому? Смысл вести с вами дискуссии? На что вы, господа безымянные | ||
Ответить | Правка | К родителю #127 | Наверх | Cообщить модератору |
187. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..." | –1 +/– | |
Сообщение от n00by (ok), 12-Июн-22, 11:55 | ||
>> Ответа кому? Смысл вести с вами дискуссии? На что вы, господа безымянные | ||
Ответить | Правка | Наверх | Cообщить модератору |
223. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..." | +/– | |
Сообщение от torvn77 (ok), 14-Июн-22, 02:01 | ||
>я просто для других напишу: LD_PRELOAD решает в данном случае задачу не только закрепления в системе. | ||
Ответить | Правка | Наверх | Cообщить модератору |
225. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..." | +/– | |
Сообщение от n00by (ok), 14-Июн-22, 07:54 | ||
>>я просто для других напишу: LD_PRELOAD решает в данном случае задачу не только закрепления в системе. | ||
Ответить | Правка | Наверх | Cообщить модератору |
38. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..." | –2 +/– | |
Сообщение от Аноним (38), 10-Июн-22, 11:43 | ||
А не наоборот? Впрочем в линуксе всё прекрасно: тут вам и разделяемые библиотеки, тут вам и пакетные менеджеры, тут вам и наркоманский FHS... Всё для человека, ага. | ||
Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору |
46. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..." | +5 +/– | |
Сообщение от n00by (ok), 10-Июн-22, 12:02 | ||
Unix way - одна программа (не обсуждается в ветке) хорошо получает рут доступ, другая программа (руткит, обсуждается здесь и сейчас) хорошо закрепляется, для чего скрывает своё присутствие. Вот что прекрасно. :) | ||
Ответить | Правка | Наверх | Cообщить модератору |
109. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..." | +/– | |
Сообщение от Аноним (-), 10-Июн-22, 21:21 | ||
> А не наоборот? Впрочем в линуксе всё прекрасно: тут вам и разделяемые | ||
Ответить | Правка | К родителю #38 | Наверх | Cообщить модератору |
125. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..." | –2 +/– | |
Сообщение от Аноним (-), 11-Июн-22, 01:56 | ||
> Я поставил патченый пакет. Все программы в моей системе автоматически отвалились | ||
Ответить | Правка | Наверх | Cообщить модератору |
169. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..." | +/– | |
Сообщение от Аноним (-), 11-Июн-22, 19:51 | ||
>> Я поставил патченый пакет. Все программы в моей системе автоматически отвалились | ||
Ответить | Правка | Наверх | Cообщить модератору |
220. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..." | +/– | |
Сообщение от Аноним (220), 13-Июн-22, 20:24 | ||
Накушался я этой стабильности в свое время. Так, навскидку пример: дебиан то ли 5, то ли 6 версии. Аська у которой полсотни рабочих контактов, майлру эту самую аську покупает и что-то меняет в протоколе. Дебиановский pidgin, само собой, работать по нему перестает. Этим контактам по фигу, у них винда - обновили свои клиенты и дальше живут (у кого-то миранда, у кого-то &RQ, у кого и официальный). А в дебиане или ставь пакет от убунты (с непредсказуемыми глюками по итогу), или собирай свежак из сорцов, или жди следующую стабильную версию этого самого дебиан годик-другой. В итоге плюнул, поставил винду и забыл про все эти дела как страшный сон | ||
Ответить | Правка | Наверх | Cообщить модератору |
128. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..." | +1 +/– | |
Сообщение от Аноним (38), 11-Июн-22, 09:55 | ||
> Допустим в zlib нашли баг. Я поставил патченый пакет. Все программы в моей системе автоматически исправлены. | ||
Ответить | Правка | К родителю #109 | Наверх | Cообщить модератору |
141. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..." | +/– | |
Сообщение от Аноним (141), 11-Июн-22, 12:03 | ||
Единое окружение операционной системы собирает разработчик ОС, а не автор конкретной программы, автор программы не знает кто, где и как будет программу использовать. | ||
Ответить | Правка | Наверх | Cообщить модератору |
144. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..." | +3 +/– | |
Сообщение от Аноним (38), 11-Июн-22, 12:23 | ||
Вот поэтому самая правильная схема -- "ОС отдельно, программы отдельно". | ||
Ответить | Правка | Наверх | Cообщить модератору |
152. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..." | +/– | |
Сообщение от n00by (ok), 11-Июн-22, 16:14 | ||
В этом месте возникает конфликт интересов. Есть специальный человек - майнтайнер (почему-то не любят переводить на русский) - собирает программу под конкретную ОС. Этот человек принимает решения по устройству ОС. При этом указанная схема - это компетенция архитектора, насколько я понимаю. | ||
Ответить | Правка | Наверх | Cообщить модератору |
157. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..." | +/– | |
Сообщение от Аноним (-), 11-Июн-22, 17:33 | ||
> ОС отдельно | ||
Ответить | Правка | К родителю #144 | Наверх | Cообщить модератору |
172. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..." | +/– | |
Сообщение от Аноним (-), 11-Июн-22, 20:07 | ||
> Вот поэтому самая правильная схема -- "ОС отдельно, программы отдельно". | ||
Ответить | Правка | К родителю #144 | Наверх | Cообщить модератору |
175. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..." | +1 +/– | |
Сообщение от Аноним (38), 11-Июн-22, 21:09 | ||
Ну не знаю... По-моему ситуация когда пользовательские приложения делят либы с осью -- это маразм высшей категории. В идеале наверное должно быть разделение на собственно операционную систему, системные утилиты и на пользовательские приложения, а как оно там будет слинковано -- над этим уже можно думать. Ну и с точки зрения безопасности приложения (за которое должен отвечать его автор, а не разработчик ОС или мэинтейнер) мне кажется, что лучше это изначально решать с помощью механизмов изоляции, чем гнаться без конца за свежими версиями библиотек. | ||
Ответить | Правка | Наверх | Cообщить модератору |
181. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..." | +/– | |
Сообщение от Аноним (-), 12-Июн-22, 03:16 | ||
> Ну не знаю... По-моему ситуация когда пользовательские приложения делят либы с осью | ||
Ответить | Правка | Наверх | Cообщить модератору |
196. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..." | +/– | |
Сообщение от Аноним (38), 12-Июн-22, 14:07 | ||
> Заменив либу на фикшеную я уверен что починилось ВСЕ | ||
Ответить | Правка | Наверх | Cообщить модератору |
203. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..." | +2 +/– | |
Сообщение от Neon (??), 13-Июн-22, 03:42 | ||
> Заменив либу на фикшеную я уверен что починилось ВСЕ. | ||
Ответить | Правка | К родителю #181 | Наверх | Cообщить модератору |
221. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..." | +/– | |
Сообщение от Аноним (220), 13-Июн-22, 20:31 | ||
> В идеале наверное должно быть разделение на собственно операционную систему, системные утилиты и на пользовательские приложения | ||
Ответить | Правка | К родителю #175 | Наверх | Cообщить модератору |
226. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..." | +/– | |
Сообщение от n00by (ok), 14-Июн-22, 08:10 | ||
Спасибо, теперь я понял эти постоянные нападки на BSD. В GNU/Linux именно свобода, а не какие-то технические аспекты, запрещает линковаться статически. | ||
Ответить | Правка | Наверх | Cообщить модератору |
228. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..." | +/– | |
Сообщение от Аноним (-), 14-Июн-22, 17:26 | ||
За что, среди прочего, фряху и люблю. Есть минимальный набор из загрузчика, ядра и всякой мелочевки вроде шелла и сишного компилятора - они фряху, собственно, и составляют и это добро разрабы фряхи пилят. А все остальное - порты, которые пилят авторы этого всего остального (для простоты к портам отношу не только сорцы, но и собранные из них пакеты). Ни тебе майнтайнеров, ни сотен сортов убунты, отличающихся только названиями и нескучными обоями, ни прочего ненужного вроде пафосных речей жирного нечесанного гуру. Да синтаксис pf, имхо, получше чем у iptables:) | ||
Ответить | Правка | Наверх | Cообщить модератору |
230. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..." | +/– | |
Сообщение от n00by (ok), 14-Июн-22, 17:55 | ||
Что бы что-то перехватить в монолитном исполняемом файле, врезать инструкции перехода на свой код, в общем случае потребуется дизассемблер и гарантии, что модифицируемый код не исполняется. Т.е. девятый "Б" сходит со сцены. Гуру учит так не делать исходя из борьбы за всё хорошее против всего плохого. Ведь не просто Linux, а GNU/Linux. Этот момент я прохлопал, поскольку мало интересуюсь лицензиями. | ||
Ответить | Правка | Наверх | Cообщить модератору |
171. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..." | +/– | |
Сообщение от Аноним (-), 11-Июн-22, 20:04 | ||
> Об этом должен беспокоиться разработчик конкретной программы, а не разработчик ОС или | ||
Ответить | Правка | К родителю #128 | Наверх | Cообщить модератору |
229. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..." | +/– | |
Сообщение от Аноним (-), 14-Июн-22, 17:35 | ||
Ну так не пользуйся ненужным, в чем проблема-то? Если найдется уязвимость в каком-нибудь kernel32.dll - мелкомягкие ее сами закроют и в случае с динамической линковкой для тебя ничего не меняется. | ||
Ответить | Правка | Наверх | Cообщить модератору |
104. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..." | +1 +/– | |
Сообщение от Аноним (-), 10-Июн-22, 18:42 | ||
> а не в самом механизме динамических библиотек | ||
Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору |
12. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..." | +/– | |
Сообщение от n00by (ok), 10-Июн-22, 10:21 | ||
Жаль, что не получается составить список экспертов. Стесняются отметиться явно. С точки зрения руткита - отображение актуальной информации является нежелательным поведением. Он и исправляет "ошибку" документированным способом. | ||
Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору |
19. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..." | +/– | |
Сообщение от Аноним (-), 10-Июн-22, 11:02 | ||
busybox | ||
Ответить | Правка | Наверх | Cообщить модератору |
26. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..." | +/– | |
Сообщение от n00by (ok), 10-Июн-22, 11:27 | ||
Ход мыслей правилен, но уровень абстракции не тот. См. ldd `which busybox` | ||
Ответить | Правка | Наверх | Cообщить модератору |
30. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..." | +2 +/– | |
Сообщение от Аноним (-), 10-Июн-22, 11:31 | ||
Статически слинкован, например с каким-нибудь экзотическим libc, который в добавок не знает про всякие переменные окружения LD_* | ||
Ответить | Правка | Наверх | Cообщить модератору |
32. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..." | +1 +/– | |
Сообщение от n00by (ok), 10-Июн-22, 11:36 | ||
Да, это решение. Но фанаты не одобряют. | ||
Ответить | Правка | Наверх | Cообщить модератору |
36. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..." | +2 +/– | |
Сообщение от Аноним (-), 10-Июн-22, 11:41 | ||
> Да, это решение. | ||
Ответить | Правка | Наверх | Cообщить модератору |
42. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..." | +/– | |
Сообщение от n00by (ok), 10-Июн-22, 11:57 | ||
>> Да, это решение. | ||
Ответить | Правка | Наверх | Cообщить модератору |
50. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..." | +/– | |
Сообщение от Аноним (-), 10-Июн-22, 12:14 | ||
В какой, в которой ключи ищут? | ||
Ответить | Правка | Наверх | Cообщить модератору |
53. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..." | +/– | |
Сообщение от n00by (ok), 10-Июн-22, 12:22 | ||
В ветке, которая началась с моего сообщения №1. Оно так понравилось экспертам. :) | ||
Ответить | Правка | Наверх | Cообщить модератору |
55. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..." | +/– | |
Сообщение от Аноним (-), 10-Июн-22, 12:35 | ||
Если обсуждают, что угодно, то изначальный тезис противоречивый, то есть троллинг. | ||
Ответить | Правка | Наверх | Cообщить модератору |
62. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..." | –1 +/– | |
Сообщение от n00by (ok), 10-Июн-22, 13:02 | ||
Противоречий в тезисе нет. "Цитата" в кавычках верна, проблема с ошибками в библиотеках действительно так решается. И так действительно говорили. Обсуждают что угодно, поскольку не понимают предмет. | ||
Ответить | Правка | Наверх | Cообщить модератору |
70. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..." | +/– | |
Сообщение от Аноним (-), 10-Июн-22, 13:30 | ||
> "Цитата" в кавычках верна | ||
Ответить | Правка | Наверх | Cообщить модератору |
72. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..." | –1 +/– | |
Сообщение от n00by (ok), 10-Июн-22, 13:38 | ||
Вот и не надо зафлуживать ветку, если сказать по сути нечего. Затроллили его, бедненького, ага. | ||
Ответить | Правка | К родителю #70 | Наверх | Cообщить модератору |
20. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..." | +/– | |
Сообщение от Аноним (20), 10-Июн-22, 11:04 | ||
А если разрешать подгрузку только таких библиотек, у которых есть цифровая подпись? | ||
Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору |
21. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..." | +1 +/– | |
Сообщение от Аноним (-), 10-Июн-22, 11:09 | ||
Что мешает подписать, если уже есть root-доступ? | ||
Ответить | Правка | Наверх | Cообщить модератору |
22. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..." | +2 +/– | |
Сообщение от n00by (ok), 10-Июн-22, 11:15 | ||
Так подписи будет раздавать RHBM. ;) | ||
Ответить | Правка | Наверх | Cообщить модератору |
23. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..." | +1 +/– | |
Сообщение от Аноним (-), 10-Июн-22, 11:21 | ||
> RHBM | ||
Ответить | Правка | Наверх | Cообщить модератору |
24. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..." | +/– | |
Сообщение от n00by (ok), 10-Июн-22, 11:24 | ||
Куда именно добавил? | ||
Ответить | Правка | Наверх | Cообщить модератору |
25. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..." | +/– | |
Сообщение от Аноним (-), 10-Июн-22, 11:26 | ||
В "систему, которая проверяет" | ||
Ответить | Правка | Наверх | Cообщить модератору |
27. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..." | +/– | |
Сообщение от n00by (ok), 10-Июн-22, 11:28 | ||
Куда именно в "систему, которая проверяет"? | ||
Ответить | Правка | Наверх | Cообщить модератору |
35. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..." | +/– | |
Сообщение от Аноним (-), 10-Июн-22, 11:39 | ||
Куда надо. Конкретика должна исходить от того, кто предложил способ защиты злоумышленника с рут-доступом. | ||
Ответить | Правка | Наверх | Cообщить модератору |
43. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..." | +/– | |
Сообщение от n00by (ok), 10-Июн-22, 11:58 | ||
Защищающийся должен защитить систему. Атакующему он ничего не должен. | ||
Ответить | Правка | Наверх | Cообщить модератору |
45. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..." | +/– | |
Сообщение от Аноним (-), 10-Июн-22, 12:01 | ||
Какой из пользователей с UID=0 защитник, какой - атакующий? | ||
Ответить | Правка | Наверх | Cообщить модератору |
47. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..." | +/– | |
Сообщение от n00by (ok), 10-Июн-22, 12:04 | ||
Ищите ключи. | ||
Ответить | Правка | Наверх | Cообщить модератору |
49. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..." | +/– | |
Сообщение от Аноним (-), 10-Июн-22, 12:12 | ||
> Ищите ключи. | ||
Ответить | Правка | К родителю #47 | Наверх | Cообщить модератору |
52. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..." | +/– | |
Сообщение от n00by (ok), 10-Июн-22, 12:20 | ||
Я понимаю, что ключ пока никто не нашёл. Совсем нет вариантов? | ||
Ответить | Правка | К родителю #49 | Наверх | Cообщить модератору |
54. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..." | +/– | |
Сообщение от Аноним (-), 10-Июн-22, 12:30 | ||
> Я понимаю, что ключ пока никто не нашёл. Совсем нет вариантов? | ||
Ответить | Правка | К родителю #52 | Наверх | Cообщить модератору |
63. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..." | +/– | |
Сообщение от n00by (ok), 10-Июн-22, 13:08 | ||
Вопрос в №21 "Что мешает подписать, если уже есть root-доступ?" | ||
Ответить | Правка | К родителю #54 | Наверх | Cообщить модератору |
69. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..." | +/– | |
Сообщение от Аноним (-), 10-Июн-22, 13:27 | ||
Хочешь сказать, ключей в системе нет? Внесистемные инструменты? | ||
Ответить | Правка | К родителю #63 | Наверх | Cообщить модератору |
74. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..." | +/– | |
Сообщение от n00by (ok), 10-Июн-22, 13:41 | ||
Социальная инженерия не работает. Не нашли ключи, не подписали, закрепиться предложенным способом не удалось, до свидания. | ||
Ответить | Правка | К родителю #69 | Наверх | Cообщить модератору |
77. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..." | +/– | |
Сообщение от Аноним (-), 10-Июн-22, 14:05 | ||
> Социальная инженерия не работает. | ||
Ответить | Правка | К родителю #74 | Наверх | Cообщить модератору |
82. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..." | +/– | |
Сообщение от n00by (ok), 10-Июн-22, 15:12 | ||
>> Не нашли ключи | ||
Ответить | Правка | К родителю #77 | Наверх | Cообщить модератору |
146. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..." | +/– | |
Сообщение от Аноним (146), 11-Июн-22, 12:59 | ||
> Я знаю, почему вариантов, где хранятся ключи, предложено не будет. | ||
Ответить | Правка | К родителю #82 | Наверх | Cообщить модератору |
147. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..." | +/– | |
Сообщение от n00by (ok), 11-Июн-22, 13:33 | ||
>> Я знаю, почему вариантов, где хранятся ключи, предложено не будет. | ||
Ответить | Правка | К родителю #146 | Наверх | Cообщить модератору |
148. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..." | +/– | |
Сообщение от Аноним (-), 11-Июн-22, 14:01 | ||
Что мне находить? Отключение integrity, когда у меня есть рут? Прописывание в загрузчик своего исправленного ядра со своими модулями, ключами, своей командной строкой, когда у меня есть рут? Какой еще вариант комбинаторного взрыва нужен, когда у меня есть рут? | ||
Ответить | Правка | К родителю #147 | Наверх | Cообщить модератору |
151. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..." | +/– | |
Сообщение от n00by (ok), 11-Июн-22, 15:57 | ||
> Что мне находить? | ||
Ответить | Правка | К родителю #148 | Наверх | Cообщить модератору |
153. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..." | +/– | |
Сообщение от Аноним (-), 11-Июн-22, 16:55 | ||
> Теряешь контекст? Требовал конкретику | ||
Ответить | Правка | К родителю #151 | Наверх | Cообщить модератору |
158. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..." | +/– | |
Сообщение от n00by (ok), 11-Июн-22, 18:50 | ||
>> Теряешь контекст? Требовал конкретику | ||
Ответить | Правка | К родителю #153 | Наверх | Cообщить модератору |
161. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..." | +/– | |
Сообщение от Аноним (-), 11-Июн-22, 19:03 | ||
> Если ты не готов к конструктивному диалогу по вопросу LD_PRELOAD | ||
Ответить | Правка | К родителю #158 | Наверх | Cообщить модератору |
163. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..." | +/– | |
Сообщение от n00by (ok), 11-Июн-22, 19:15 | ||
>> Если ты не готов к конструктивному диалогу по вопросу LD_PRELOAD | ||
Ответить | Правка | К родителю #161 | Наверх | Cообщить модератору |
167. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..." | +/– | |
Сообщение от Аноним (-), 11-Июн-22, 19:37 | ||
Руткит - это "кит", который работает как "рут". С точки зрения системы ничем не отличима от человека-пользователя "рут" | ||
Ответить | Правка | К родителю #163 | Наверх | Cообщить модератору |
188. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..." | +/– | |
Сообщение от n00by (ok), 12-Июн-22, 12:08 | ||
Аноним - это "им" "я", которого "нет". С точки зрения системы у твоего мнения нет источника. | ||
Ответить | Правка | К родителю #167 | Наверх | Cообщить модератору |
105. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..." | +/– | |
Сообщение от Аноним (-), 10-Июн-22, 18:43 | ||
> Так подписи будет раздавать RHBM. ;) | ||
Ответить | Правка | К родителю #22 | Наверх | Cообщить модератору |
129. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..." | +/– | |
Сообщение от n00by (ok), 11-Июн-22, 10:16 | ||
Для Вас не вижу проблем, коль сходу предлагаете решение. Исходники открыты, можно дорабатывать. А вот этим, у кого вся свобода заключается в "лишь бы не как в венде" и трендовых сетах иконок, RH/IBM и будет подписывать. | ||
Ответить | Правка | Наверх | Cообщить модератору |
204. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..." | +/– | |
Сообщение от Neon (??), 13-Июн-22, 03:45 | ||
А кто будет проверять контролера ? | ||
Ответить | Правка | К родителю #22 | Наверх | Cообщить модератору |
209. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..." | +/– | |
Сообщение от n00by (ok), 13-Июн-22, 08:32 | ||
Сами подписывайте, если никому не доверяете. Исходники открыты, возможность есть. | ||
Ответить | Правка | Наверх | Cообщить модератору |
28. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..." | +2 +/– | |
Сообщение от Аноним (28), 10-Июн-22, 11:28 | ||
Подписывают на отдельном хосте, не подключенном к сети с рутуемыми серверами. | ||
Ответить | Правка | К родителю #21 | Наверх | Cообщить модератору |
29. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..." | +1 +/– | |
Сообщение от n00by (ok), 10-Июн-22, 11:29 | ||
Да, это один из вариантов. Но надо понимать, что в прошлый раз в итоге развития идеи появился SecureBoot. :) | ||
Ответить | Правка | К родителю #20 | Наверх | Cообщить модератору |
48. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..." | +/– | |
Сообщение от Аноним (20), 10-Июн-22, 12:07 | ||
А если прямо им и воспользоваться, не мудрствуя лукаво... | ||
Ответить | Правка | Наверх | Cообщить модератору |
107. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..." | +/– | |
Сообщение от Аноним (-), 10-Июн-22, 21:02 | ||
> А если прямо им и воспользоваться, не мудрствуя лукаво... | ||
Ответить | Правка | Наверх | Cообщить модератору |
137. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..." | +/– | |
Сообщение от InuYasha (??), 11-Июн-22, 10:51 | ||
Предлагаешь отключить _dl_map_object_deps всем-всем-всем из юзерспейса? | ||
Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору |
139. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..." | +/– | |
Сообщение от n00by (ok), 11-Июн-22, 11:41 | ||
Зачем сразу запрещать. Было интересно, сколько возникнет подобных вопросов ("что с этим делать") и вариантов решений. Например, можно переименовать LD_PRELOAD... или перевести на русский.) | ||
Ответить | Правка | Наверх | Cообщить модератору |
155. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..." | +1 +/– | |
Сообщение от Аноним (-), 11-Июн-22, 16:59 | ||
> Например, можно переименовать LD_PRELOAD | ||
Ответить | Правка | Наверх | Cообщить модератору |
160. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..." | +/– | |
Сообщение от n00by (ok), 11-Июн-22, 19:02 | ||
>> Например, можно переименовать LD_PRELOAD | ||
Ответить | Правка | Наверх | Cообщить модератору |
164. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..." | +1 +/– | |
Сообщение от Аноним (-), 11-Июн-22, 19:19 | ||
> "переименовать" = "не знать" | ||
Ответить | Правка | Наверх | Cообщить модератору |
166. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..." | +/– | |
Сообщение от n00by (ok), 11-Июн-22, 19:25 | ||
>> "переименовать" = "не знать" | ||
Ответить | Правка | Наверх | Cообщить модератору |
60. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..." | –3 +/– | |
Сообщение от Аристарх (??), 10-Июн-22, 12:54 | ||
Строго говоря, замена одной неисправной библиотечки не является уязвимостью, ЕСЛИ систему не писал бы кретuн Трольвадс! Это нормальная, рабочая операция, где главная проблема - защита оригинальной либы и руками одобренная замена. Ну то есть если вирус полезет её заменять, ему даст отлуп защита файлов. И даже если через неё он проскочит и запросит замену, система обязана иметь отдельный, защищённый модуль, ПЕРСОНАЛЬНО и ИНТЕРАКТИВНО спрашивающий, можно ли заменить вот эту одну либу. | ||
Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору |
66. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..." | +4 +/– | |
Сообщение от n00by (ok), 10-Июн-22, 13:11 | ||
Торвальдс написал ядро. Здесь обсуждается механизм в пространстве пользователя. Советую извиниться за слова в адрес Линуса. | ||
Ответить | Правка | Наверх | Cообщить модератору |
73. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..." | +/– | |
Сообщение от Аноним (-), 10-Июн-22, 13:40 | ||
> Здесь обсуждается механизм в пространстве пользователя. | ||
Ответить | Правка | Наверх | Cообщить модератору |
75. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..." | +/– | |
Сообщение от n00by (ok), 10-Июн-22, 13:47 | ||
> Даже для того чтобы вывести "привет, мир" нужно дергать сискол. | ||
Ответить | Правка | Наверх | Cообщить модератору |
78. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..." | –1 +/– | |
Сообщение от Аноним (-), 10-Июн-22, 14:16 | ||
> Самое удивительное, что руткит при этом не подгузится. | ||
Ответить | Правка | Наверх | Cообщить модератору |
81. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..." | +/– | |
Сообщение от n00by (ok), 10-Июн-22, 15:11 | ||
> я смотрю в сообщение №12 и вижу фигу. | ||
Ответить | Правка | Наверх | Cообщить модератору |
83. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..." | +/– | |
Сообщение от Аноним (146), 10-Июн-22, 15:30 | ||
> сообщение №12 | ||
Ответить | Правка | Наверх | Cообщить модератору |
85. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..." | +/– | |
Сообщение от n00by (ok), 10-Июн-22, 15:43 | ||
> Это решает только проблему с LD_PRELOAD. | ||
Ответить | Правка | Наверх | Cообщить модератору |
87. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..." | +/– | |
Сообщение от Аноним (-), 10-Июн-22, 15:58 | ||
Если есть рут доступ, можно подменить (вызовы) glibc своим "механизмом LD_PRELOAD" и другими "механизмами". Ты уже в скомпрометированной системе, это уже не твои "механизмы". | ||
Ответить | Правка | Наверх | Cообщить модератору |
92. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..." | +/– | |
Сообщение от n00by (ok), 10-Июн-22, 16:16 | ||
То есть цель озвучить не можете, но хотите пофлудить о сферическом коне в вакууме. | ||
Ответить | Правка | Наверх | Cообщить модератору |
94. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..." | +/– | |
Сообщение от Аноним (-), 10-Июн-22, 16:33 | ||
> Аноним в №20 | ||
Ответить | Правка | Наверх | Cообщить модератору |
130. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..." | +/– | |
Сообщение от n00by (ok), 11-Июн-22, 10:20 | ||
> Нет, он подписал на другой машине/системе - внесистемное решение. | ||
Ответить | Правка | Наверх | Cообщить модератору |
110. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..." | +1 +/– | |
Сообщение от Michael Shigorin (ok), 10-Июн-22, 21:23 | ||
> ПЕРСОНАЛЬНО и ИНТЕРАКТИВНО спрашивающий | ||
Ответить | Правка | К родителю #60 | Наверх | Cообщить модератору |
90. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..." | +/– | |
Сообщение от Аноним (90), 10-Июн-22, 16:01 | ||
Да, позволяют. | ||
Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору |
93. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..." | +/– | |
Сообщение от n00by (ok), 10-Июн-22, 16:20 | ||
Чего мне понимать - в новости подробно описана "разделяемая библиотека": | ||
Ответить | Правка | Наверх | Cообщить модератору |
101. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..." | +1 +/– | |
Сообщение от Аноним (-), 10-Июн-22, 18:35 | ||
> "Разделяемые библиотеки позволяют быстро исправлять ошибки" - говорили они, | ||
Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору |
111. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..." | +/– | |
Сообщение от Michael Shigorin (ok), 10-Июн-22, 21:24 | ||
> p.s. а LF_PRELOAD таки довольно легко палится вещами типа "ps wwwaxe" | ||
Ответить | Правка | Наверх | Cообщить модератору |
142. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..." | +/– | |
Сообщение от n00by (ok), 11-Июн-22, 12:14 | ||
Это они не открыли Бритву Оккама - не надо прятать то, чего нет. Есть же ещё один хороший удобный механизм - DKMS. | ||
Ответить | Правка | Наверх | Cообщить модератору |
132. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..." | +1 +/– | |
Сообщение от n00by (ok), 11-Июн-22, 10:26 | ||
>> "Разделяемые библиотеки позволяют быстро исправлять ошибки" - говорили они, | ||
Ответить | Правка | К родителю #101 | Наверх | Cообщить модератору |
156. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..." | +/– | |
Сообщение от Аноним (-), 11-Июн-22, 17:09 | ||
> У меня на Си++ std::cout << "хелловорлд"; получался в 25 кб. | ||
Ответить | Правка | Наверх | Cообщить модератору |
159. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..." | +/– | |
Сообщение от n00by (ok), 11-Июн-22, 18:54 | ||
Она не понимает PE/COFF. | ||
Ответить | Правка | Наверх | Cообщить модератору |
162. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..." | +/– | |
Сообщение от Аноним (-), 11-Июн-22, 19:12 | ||
> Она не понимает PE/COFF. | ||
Ответить | Правка | Наверх | Cообщить модератору |
165. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..." | +/– | |
Сообщение от n00by (ok), 11-Июн-22, 19:20 | ||
>> Она не понимает PE/COFF. | ||
Ответить | Правка | Наверх | Cообщить модератору |
170. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..." | +/– | |
Сообщение от Аноним (-), 11-Июн-22, 20:01 | ||
Ты не виляй хвостом, показывай импорты и экспорты или как у там у вас оффтопщиков это называется. Можешь даже скриншотом, если с утилитами командной строки не справишься. | ||
Ответить | Правка | Наверх | Cообщить модератору |
189. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..." | +/– | |
Сообщение от n00by (ok), 12-Июн-22, 12:12 | ||
Зачем я буду что-то тебе показывать? У меня нет давно Венды как и того экзешника, искать компилятор долго и лениво. Там в импорте должно быть WriteConsoleW() плюс пара функций из ntdll, всё это возможно адаптировать на сисколы Линукса. Ты не веришь людям, поскольку судишь по себе. | ||
Ответить | Правка | Наверх | Cообщить модератору |
193. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..." | +/– | |
Сообщение от Аноним (146), 12-Июн-22, 12:48 | ||
> Там в импорте должно быть WriteConsoleW() | ||
Ответить | Правка | Наверх | Cообщить модератору |
194. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..." | +/– | |
Сообщение от n00by (ok), 12-Июн-22, 13:17 | ||
>> Там в импорте должно быть WriteConsoleW() | ||
Ответить | Правка | Наверх | Cообщить модератору |
195. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..." | +/– | |
Сообщение от Аноним (146), 12-Июн-22, 13:37 | ||
Типичный оффтопщик, который пришел в тему про linux, и понтуется, что читал оффтопных авторитетов и нам советует. | ||
Ответить | Правка | Наверх | Cообщить модератору |
197. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..." | +/– | |
Сообщение от n00by (ok), 12-Июн-22, 14:42 | ||
Рекомендую тебе вести себя крайне осторожно, особенно с оценками, пока ты не осознаешь происходящее. У тебя сейчас порван шаблон. | ||
Ответить | Правка | Наверх | Cообщить модератору |
198. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..." | +/– | |
Сообщение от Аноним (146), 12-Июн-22, 15:41 | ||
> эффект Даннинга-Крюгера | ||
Ответить | Правка | К родителю #197 | Наверх | Cообщить модератору |
208. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..." | +/– | |
Сообщение от n00by (ok), 13-Июн-22, 08:21 | ||
Напоминаю, в №101 ты описал свой маня-мирок, в котором "хелловорлд весит 6 мегабайтов". | ||
Ответить | Правка | К родителю #198 | Наверх | Cообщить модератору |
210. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..." | +/– | |
Сообщение от Аноним (146), 13-Июн-22, 09:09 | ||
> В реальном мире такое - при использовании статического связывания со стандартной библиотекой Си++ - весит существенно меньше сотни килобайт. | ||
Ответить | Правка | К родителю #208 | Наверх | Cообщить модератору |
212. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..." | +/– | |
Сообщение от n00by (ok), 13-Июн-22, 09:38 | ||
>> В реальном мире такое - при использовании статического связывания со стандартной библиотекой Си++ - весит существенно меньше сотни килобайт. | ||
Ответить | Правка | К родителю #210 | Наверх | Cообщить модератору |
213. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..." | +/– | |
Сообщение от Аноним (146), 13-Июн-22, 10:40 | ||
> со стандартной библиотекой Си++ | ||
Ответить | Правка | К родителю #212 | Наверх | Cообщить модератору |
214. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..." | +/– | |
Сообщение от n00by (ok), 13-Июн-22, 11:20 | ||
>> со стандартной библиотекой Си++ | ||
Ответить | Правка | К родителю #213 | Наверх | Cообщить модератору |
215. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..." | +/– | |
Сообщение от Аноним (146), 13-Июн-22, 11:31 | ||
> Почему ты решил, что я буду объяснять тебе, что такое стандартная библиотека Си++? | ||
Ответить | Правка | К родителю #214 | Наверх | Cообщить модератору |
216. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..." | +/– | |
Сообщение от n00by (ok), 13-Июн-22, 13:19 | ||
>> Почему ты решил, что я буду объяснять тебе, что такое стандартная библиотека Си++? | ||
Ответить | Правка | К родителю #215 | Наверх | Cообщить модератору |
217. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..." | +/– | |
Сообщение от Анонин (?), 13-Июн-22, 13:54 | ||
https://eel.is/c++draft/namespace.std#1 | ||
Ответить | Правка | К родителю #216 | Наверх | Cообщить модератору |
219. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..." | +/– | |
Сообщение от n00by (ok), 13-Июн-22, 15:25 | ||
> https://eel.is/c++draft/namespace.std#1 | ||
Ответить | Правка | К родителю #217 | Наверх | Cообщить модератору |
231. "Simbiote - вредоносное ПО для Linux, использующее eBPF и LD_..." | +/– | |
Сообщение от n00by (ok), 15-Июн-22, 11:38 | ||
Кстати, ты заметил, что ответил как Анонин - с "н" на конце? Мне интересно, это ты осознанно сделал, или "случайно" в процессе спора с объективной реальностью. | ||
Ответить | Правка | К родителю #215 | Наверх | Cообщить модератору |
Архив | Удалить |
Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема |
Закладки на сайте Проследить за страницей |
Created 1996-2024 by Maxim Chirkov Добавить, Поддержать, Вебмастеру |