アカウント名:
パスワード:
もちろん素晴らしいrootkitで、外部からもってきたrsyncのバイナリを書き換え、MD5の値もごまかし、全部のファイルを置き換えたと見せつつ置き換えてないかもしれません。が、私は残念なことにそんな素晴らしいrootkitは見たことありません。
システムコールを置き換えれば、/usr/bin/rsyncを書き換えなくてもいいです。この場合、普通にシステムコール経由でファイルにアクセスするすべてのプログラムを騙す事ができます。システムコールを呼び出したプロセスをみて、/usr/bin/{md5sum,sha1sum}なら正常なバイナリを渡してチェックをすり抜ける、なんてことはそう難しくあ
何言ってるか全然わかんないんですけど。
では、その実例を教えてください。
そんなの [atmarkit.co.jp]数秒で探せますよ。なんで自分で探そうとしないのでしょう?#こっちの解説 [atmarkit.co.jp]から読むべきかも知れない。
なぜだめなのですか?
上で紹介した記事を読めば自ずと解ると思いますが、調査に使われるシステムコールが汚染されいて、なおかつ、それを検出できない可能性があるからです。感染したOS上で、システムコールを使わずに、直接ハードウェアを制御して検出することも理論上可能ですが、CDブートのOSを使った方がはるかに確実かつ簡単です。これが解っていない、ということは、rootkitとは何かが解っていない(あるいは、その理解が古い)と言うことです。
r
いいえ、システムコールを置き換え<<略>>>できるrootkitを教えてください。
システムコールを置き換えるものを紹介すればいいんですよね?であれば、前に紹介した@ITの記事 [atmarkit.co.jp]に実例が出てくるのですが、読みましたよね?
別にKLMでシステムコールをフックするrootkitどうこうが知りたいわけではありません。
LKMです。LKM rootkitでも構いませんよね?特に除外する理由もありませんよね?ちなみに、私は「システムコールを置き(書き)換える」を「システムコールをフックする」と同義で使っています。このくらい言わなくても解ってますよね?
私がなんでそのページを見たことがないと思うんでしょうか。
きっと試されたんですよ。
Ryo.Fさんは自分のPCがウィルスにかかったらどう対処しますか?
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
弘法筆を選ばず、アレゲはキーボードを選ぶ -- アレゲ研究家
たぶんみんな気になってるんだとおもう (スコア:1)
ほかのひとに迷惑かかってないよね?
今もちゃんとそのサーバ動いてるのよね?
# ごめんなさい、すごく聞きたかったんです
φωφ)/
Re: (スコア:1)
rootkitだって、それがどういう種類で、どういう動作をし、
どういうことをしてどういうことをしないかを知っていれば、
闇雲に再インストールする必要は無いと思います。
いや闇雲に再インストールしたほうが楽なんですが。
再インストールがベストなのは疑う余地もありません。
だけどそれは風邪をひいただけなのに大学病院で1ヶ月検査入院みたいな大げさ感があります。
今回は遠隔地からの操作だったので、パスワードを設定してもらった後、
ルータで他のネットワークからは隔離し、パスワードが度々変更されるので、
cronで定期
Re: (スコア:2, すばらしい洞察)
システムコールを置き換えれば、/usr/bin/rsyncを書き換えなくてもいいです。この場合、普通にシステムコール経由でファイルにアクセスするすべてのプログラムを騙す事ができます。システムコールを呼び出したプロセスをみて、/usr/bin/{md5sum,sha1sum}なら正常なバイナリを渡してチェックをすり抜ける、なんてことはそう難しくあ
Re: (スコア:1)
Re: (スコア:1)
乗りかかった船ですから、解らないことがあれば教えます。何が解らないんですか?専門用語ですか?
しかし、再インストールできなかった理由は、「全然わかんない」わけないですよね。教えてもらえますか?
Re: (スコア:0, フレームのもと)
>> この場合、普通にシステムコール経由でファイルにアクセスするすべてのプログラムを騙す事ができます。
では、その実例を教えてください。「私が思いつくから世の中には存在するであろう」というのはなんの根拠にもなりません。
>> チェック・駆除するなら、感染したOSからではダメです。
なぜだめなのですか?
rootkitのいちばんの目的は、自分がそのOS環境に潜んでいることを悟られないことです。
rootkitが入っていると管理者が知っているなら、それはウィルス程度のプログラムだと思うのですが。
再インストールできなかったわけはHDDの容量が3TBあり、そのバックアップとリストアに48時間かかるためです。
Re: (スコア:1)
そんなの [atmarkit.co.jp]数秒で探せますよ。
なんで自分で探そうとしないのでしょう?
#こっちの解説 [atmarkit.co.jp]から読むべきかも知れない。
上で紹介した記事を読めば自ずと解ると思いますが、調査に使われるシステムコールが汚染されいて、なおかつ、それを検出できない可能性があるからです。
感染したOS上で、システムコールを使わずに、直接ハードウェアを制御して検出することも理論上可能ですが、CDブートのOSを使った方がはるかに確実かつ簡単です。
これが解っていない、ということは、rootkitとは何かが解っていない(あるいは、その理解が古い)と言うことです。
Re: (スコア:0, フレームのもと)
システムコール経由でファイルにアクセスするすべてのプログラムを騙す事ができるrootkitを教えてください。
別にKLMでシステムコールをフックするrootkitどうこうが知りたいわけではありません。
それにWikipediaや@ITをポインタする人がいますが、私がなんでそのページを見たことがないと思うんでしょうか。
rootkitとて万能ではありません。想定する管理者の行動から自分を隠蔽するだけです。
rsyncが/usr/bin/rsyncに無かったら?rsyncの名前がrsyncでなかったら?rsyncのフィンガープリントが違ってたら?
rootkitはどうやって自分を隠蔽するのでしょうか?
あのー、日記にルータでパケットが流れないようにしたって書いてありますし、
なんでサービスインは二週間以上先だったって決めつけるんですか?
Ryo.Fさんは自分のPCがウィルスにかかったらどう対処しますか?
Re: (スコア:1)
システムコールを置き換えるものを紹介すればいいんですよね?であれば、前に紹介した@ITの記事 [atmarkit.co.jp]に実例が出てくるのですが、読みましたよね?
LKMです。LKM rootkitでも構いませんよね?特に除外する理由もありませんよね?
ちなみに、私は「システムコールを置き(書き)換える」を「システムコールをフックする」と同義で使っています。このくらい言わなくても解ってますよね?
きっと試されたんですよ。
Re: (スコア:1)
システムコール経由でファイルにアクセスするすべてのプログラムを騙す事ができるrootkitです。
システムコールを置き換えること=すべてのプログラムを騙す事ができるではありませんから。
おっと、KLMとLKMを打ち間違えてしまいました。
>>きっと試されたんですよ
ええ、別に気にしてません。逆に光栄なくらいです。
>>でも、リモートからは作業できたんですよね?どう「隔離」したんです?別セグメントに分けただけではないんですよね?
私のクライアントとだけ通信するようにしただけ
Re:たぶんみんな気になってるんだとおもう (スコア:2, 参考になる)
念の為言っておきますが、なぜ嫌なのか、なんてことを聞くのは無意味です。好き嫌いだって、あなたの非常識は私の非常識で [srad.jp]はないのですから。
さて、本題に戻ります。
まあ、最初にウィルスに感染しないように気をつけますね。もちろん、「123456」なんて甘々パスワード [srad.jp]は論外ですし、パスワード認証をIPアドレス制限と組み合わせないでインターネットへ曝露 [srad.jp]なんてことは有り得ません。クライアントPCでもそんなことはしませんし、サーバならなおさらです。
少なくとも、リモートログインは、rootは禁止しますし、一般ユーザは公開鍵暗号方式限定です。Linuxならiptables・SELinuxは有効化したままです。不要なサービスも止めます。ここまでが最低限の対策です。加えて、アンチウィルスソフトの導入も検討します。
#今時tcp_wrappersは使いませんよ、普通。
と、ここまでやって、ウィルスに感染したときどうするか、という話ができます。やってなければ話になりません。
#つまり、あなたのやったことは「話にならない」ってことです。
それでも感染が確認されたら、速やかにネットワークから切り離します。後はケースバイケースです。調査→再インストール→対策の実施→再接続あたりが標準コースでしょうかね。影響範囲が極限定的(例えば、rootkitを組み込まれる可能性がない等)で、駆除方法が判っている場合は、再インストールしない場合も有り得ます。
ただ、最低限の対策をしてなかった場合は、必ず再インストールです。何を仕込まれてるか判りませんからね。
で、こんなつまらない(=当たり前の)ことを聞いてどうしようってって言うんですか?