アカウント名:
パスワード:
もちろん素晴らしいrootkitで、外部からもってきたrsyncのバイナリを書き換え、MD5の値もごまかし、全部のファイルを置き換えたと見せつつ置き換えてないかもしれません。が、私は残念なことにそんな素晴らしいrootkitは見たことありません。
システムコールを置き換えれば、/usr/bin/rsyncを書き換えなくてもいいです。この場合、普通にシステムコール経由でファイルにアクセスするすべてのプログラムを騙す事ができます。システムコールを呼び出したプロセスをみて、/usr/bin/{md5sum,sha1sum}なら正常なバイナリを渡してチェックをすり抜ける、なんてことはそう難しくあ
何言ってるか全然わかんないんですけど。
日記といえど/.JP日記はネット上で公開されてるので批判の対象になることは当然では?批判されるのが嫌なら日記帳は自室の机の引き出しにでもしまっておくのが良いでしょう。
#コメント無効にしておけば日記にコメント付けられることは止められるでしょう。#もっともこれだけナニな内容だとネット上で公開する限りリンクの上批判されることになるだけでしょうけども。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
一つのことを行い、またそれをうまくやるプログラムを書け -- Malcolm Douglas McIlroy
たぶんみんな気になってるんだとおもう (スコア:1)
ほかのひとに迷惑かかってないよね?
今もちゃんとそのサーバ動いてるのよね?
# ごめんなさい、すごく聞きたかったんです
φωφ)/
Re: (スコア:1)
rootkitだって、それがどういう種類で、どういう動作をし、
どういうことをしてどういうことをしないかを知っていれば、
闇雲に再インストールする必要は無いと思います。
いや闇雲に再インストールしたほうが楽なんですが。
再インストールがベストなのは疑う余地もありません。
だけどそれは風邪をひいただけなのに大学病院で1ヶ月検査入院みたいな大げさ感があります。
今回は遠隔地からの操作だったので、パスワードを設定してもらった後、
ルータで他のネットワークからは隔離し、パスワードが度々変更されるので、
cronで定期
Re: (スコア:2, すばらしい洞察)
システムコールを置き換えれば、/usr/bin/rsyncを書き換えなくてもいいです。この場合、普通にシステムコール経由でファイルにアクセスするすべてのプログラムを騙す事ができます。システムコールを呼び出したプロセスをみて、/usr/bin/{md5sum,sha1sum}なら正常なバイナリを渡してチェックをすり抜ける、なんてことはそう難しくあ
Re: (スコア:1)
Re: (スコア:1)
乗りかかった船ですから、解らないことがあれば教えます。何が解らないんですか?専門用語ですか?
しかし、再インストールできなかった理由は、「全然わかんない」わけないですよね。教えてもらえますか?
Re: (スコア:0, フレームのもと)
>> この場合、普通にシステムコール経由でファイルにアクセスするすべてのプログラムを騙す事ができます。
では、その実例を教えてください。「私が思いつくから世の中には存在するであろう」というのはなんの根拠にもなりません。
>> チェック・駆除するなら、感染したOSからではダメです。
なぜだめなのですか?
rootkitのいちばんの目的は、自分がそのOS環境に潜んでいることを悟られないことです。
rootkitが入っていると管理者が知っているなら、それはウィルス程度のプログラムだと思うのですが。
再インストールできなかったわけはHDDの容量が3TBあり、そのバックアップとリストアに48時間かかるためです。
Re:たぶんみんな気になってるんだとおもう (スコア:1)
システムコール書き換えなんてDOS時代のウィルスやそれ以外のツールでも常套手段でしたし
逆を言えば古典的な手法だと思いますが。
逆にそういう事されているRootKitなんて見たこと無いと言うならもう10年近く前のLinux系アングラ本で
そういうこと明言されている本も持っています。(まぁ、その本の趣旨はサーバを守ると言う方向ですが)
そもそも、侵入されたんだったら3Tbyteの中身がデータかプログラムかはさておき
バックアップ&リストアの中にrootkitやバックドア、ウィルス等含まれている可能性有るんじゃないかと思うんですが・・・。
同じ構成のマシンがあったなら、それに納品時のデータ入れて郵送、HDD交換という手も使えたような。
私が仕事で関わった地域ポータルサイトを入ってすぐ見たらSSH,FTP,DB等々解放されてたりパスワードが安易だったり
前管理者に仕事に遠い目しつつ、ポートを制限かけまくった後にアタックログ全部印刷してバックドア等調べまくって
関係各社のミーティングの場でばんとおいて幸いサービスインしていた物の一週間後にサーバ一日中断、
OS入れ直して設定等含めて全部やり直しましたが・・・。
JpegやGIF等の画像に入るウィルスもあったくらいですしデータすら信用できません。
バックアップしたのはデーターベースのデーターのみ。
そのデータも一応検証機で検証してから書き戻しました。
個人情報含まれていたのでやばいだろうと突っ込み入れましたが・・・
リテラシーの低い関係各社に黙殺されました。
そして入社直後のその件から煙たがられて半年で技術者イラネと言われて放り出されました。
#イラネって言ったくせにサーバトラブル等有ると電話かかってきていい加減うざいですが・・・そんななので私の仕事場のIPアドレスはSSHで入れるようになりっぱなし・・・。
#後半は完全に愚痴ですね(苦笑)
Re: (スコア:0, フレームのもと)
Re:たぶんみんな気になってるんだとおもう (スコア:1)
失礼が過ぎるんじゃありませんか?
Re: (スコア:0, フレームのもと)
Re:たぶんみんな気になってるんだとおもう (スコア:1, すばらしい洞察)
こいつ放置でいいだろー。
議論しよーとか理解しよーとか考えてねーべ。
ただの質問小僧じゃんかー。
てかこれ作ってるキャラなんだろーし。
まあ爆釣れでうはうはでおkってことじゃねーの。
Re: (スコア:0, フレームのもと)
好きで私の相手してくれてる優しい人たちに止めようぜなんて呼びかけるって、
自分が来なきゃいいだけじゃないのかしら。
世の中の人が全員自分と同じ考えじゃないと納得できないの?
自分と同じ対処方法をしないとバカ扱いしたりご高説たれたりするの?
Re:たぶんみんな気になってるんだとおもう (スコア:1)
まぁ、スレッドの中に割り込んだみたいなものですけど
質問と言うよりはそんなRootKit「私は」知りません、実例あげて下さい。
と言う流れで普通にあるよ?と指摘したくなる書き方ですね。
自分が知らないから無いと言う論調にも取れますし、Ryo.Fさんを試す?
むしろ、頭ごなしに否定していたような・・・
Re:たぶんみんな気になってるんだとおもう (スコア:1)
日記といえど/.JP日記はネット上で公開されてるので批判の対象になることは当然では?
批判されるのが嫌なら日記帳は自室の机の引き出しにでもしまっておくのが良いでしょう。
#コメント無効にしておけば日記にコメント付けられることは止められるでしょう。
#もっともこれだけナニな内容だとネット上で公開する限りリンクの上批判されることになるだけでしょうけども。