|
|
|
debain и библиотека
|
|||
|---|---|---|---|
|
#18+
Скажите, пож, а что это за библиотека лежит lib klibc-_p1fb7QsHmNN-bA0jN63AqBDMvM.so и размер у нее 76488 от 12 ноября 2012 года ? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 04.08.2014, 01:01 |
|
||
|
debain и библиотека
|
|||
|---|---|---|---|
|
#18+
loginovru, вот это явно троян. 3R. сделай это. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 04.08.2014, 01:47 |
|
||
|
debain и библиотека
|
|||
|---|---|---|---|
|
#18+
netwind, а может ты сам сделаешь ? ) а вообще иди гуляй со своими постами! ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 04.08.2014, 01:58 |
|
||
|
debain и библиотека
|
|||
|---|---|---|---|
|
#18+
loginovru, серьезно говорю - делай переустановку. это самый простой и одновременно надежный способ. вот тебе поучительные ссылки с нашего форума я нагуглил : годами мучаются с одной и той же проблемой. годами ! http://www.sql.ru/forum/780183/hakery-i-ssh?hl= http://www.sql.ru/forum/929370/levye-konnekty-na-servere-red-hat-kak-ubrat?hl= или этот http://www.sql.ru/forum/952061/vzlomali-pohozhe-virt-server-linuks-sentos-posovetuyte-horoshiy-antivirus-dlya-linuks?hl= http://www.sql.ru/forum/1064153/cpecy-kak-udalit-chervya-pnscan-krutyashhegosya-pod-rutom-centos?hl= ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 04.08.2014, 02:44 |
|
||
|
debain и библиотека
|
|||
|---|---|---|---|
|
#18+
и правда интересно откуда такое имя у файла в списке файлов пакета эта библиотека есть : https://packages.debian.org/ru/wheezy/i386/libklibc-dev/filelist в ubuntu может немного иначе называться klibc-3l753vPzJwYEL0GJGYa3oGaUPp4.so ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 04.08.2014, 03:03 |
|
||
|
debain и библиотека
|
|||
|---|---|---|---|
|
#18+
netwind, в том то и дело, что у меня libklibc-dev не установлена а вот откуда файло взялось мне непоянтно может быть давайте вместе посмотрим мою клиентскую тачку ? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 04.08.2014, 03:13 |
|
||
|
debain и библиотека
|
|||
|---|---|---|---|
|
#18+
Но я бы все равно переустановил все. К сожалению, не очень представляю назначение этой библиотеки и ситуацию когда на стандартном сервере она может потребоваться. По крайней мере, официально известно какая у файла должна быть контрольная сумма md5 : 2687d34d4c0df02d5662076e40fa09df usr/lib/klibc/lib/klibc-_p1fb7QsHmNN-bA0jN63AqBDMvM.so эту информацию я из пакета достал. Как ее правильно посчитать на сервере, который возможно был заражен - вопрос непростой. Может там и программа md5sum изменена и все варианты пакетных менеджеров тоже. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 04.08.2014, 03:15 |
|
||
|
debain и библиотека
|
|||
|---|---|---|---|
|
#18+
прикладываю этот файл ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 04.08.2014, 03:15 |
|
||
|
debain и библиотека
|
|||
|---|---|---|---|
|
#18+
netwind, так в том и дело, что непонятно как он доступ получает к компьютеру, это уже не первый раз такая фигня, кроме как через ssh и браузера больше никуда не ходишь ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 04.08.2014, 03:16 |
|
||
|
debain и библиотека
|
|||
|---|---|---|---|
|
#18+
допустим, у этого файла сумма совпадает с той, которая должна быть в debian. ну и что ? Вам работать или в расследование играть? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 04.08.2014, 03:18 |
|
||
|
debain и библиотека
|
|||
|---|---|---|---|
|
#18+
netwind, мне интересно как получают доступ к машине ? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 04.08.2014, 03:22 |
|
||
|
debain и библиотека
|
|||
|---|---|---|---|
|
#18+
loginovru, Код: sql 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 11. 12. 13. 14. в netstat ничего подозрительно не обнаружил, а вот файлы появляются непонятно откуда ? как вычислить, кто управляет машиной ? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 04.08.2014, 03:25 |
|
||
|
debain и библиотека
|
|||
|---|---|---|---|
|
#18+
Код: sql 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 11. 12. 13. 14. 15. 16. 17. 18. 19. 20. 21. 22. 23. 24. 25. 26. 27. 28. 29. 30. 31. 32. 33. 34. 35. 36. 37. 38. 39. 40. 41. 42. 43. 44. 45. 46. 47. 48. 49. 50. 51. 52. 53. 54. 55. 56. 57. 58. 59. 60. 61. 62. 63. 64. 65. 66. 67. 68. 69. 70. 71. 72. 73. 74. 75. 76. 77. 78. 79. 80. 81. 82. 83. 84. 85. 86. 87. 88. 89. 90. 91. 92. 93. 94. 95. 96. 97. 98. 99. 100. 101. 102. 103. 104. 105. 106. 107. 108. 109. 110. 111. 112. 113. 114. 115. 116. 117. 118. 119. 120. 121. 122. 123. 124. 125. 126. 127. 128. 129. 130. 131. 132. 133. 134. 135. 136. 137. 138. 139. 140. 141. 142. 143. 144. 145. 146. 147. 148. 149. 150. 151. 152. 153. 154. 155. 156. 157. 158. 159. 160. 161. 162. 163. 164. 165. 166. 167. 168. 169. 170. 171. 172. 173. 174. 175. 176. 177. 178. 179. 180. 181. 182. 183. 184. 185. 186. 187. 188. 189. 190. 191. 192. 193. 194. 195. 196. 197. 198. 199. 200. 201. 202. 203. 204. 205. 206. 207. 208. 209. 210. 211. 212. 213. 214. 215. 216. 217. 218. 219. 220. 221. 222. 223. 224. 225. 226. 227. 228. 229. 230. 231. 232. 233. 234. 235. 236. 237. 238. 239. 240. 241. 242. 243. 244. 245. 246. 247. 248. 249. 250. 251. 252. 253. 254. 255. 256. 257. 258. 259. 260. 261. 262. 263. 264. 265. 266. 267. 268. 269. 270. 271. 272. 273. 274. 275. 276. 277. 278. 279. 280. 281. 282. 283. 284. 285. 286. 287. 288. 289. 290. 291. 292. 293. 294. 295. 296. 297. 298. 299. 300. 301. 302. 303. 304. 305. 306. 307. 308. 309. 310. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 04.08.2014, 03:28 |
|
||
|
debain и библиотека
|
|||
|---|---|---|---|
|
#18+
loginovru, а мне интересно, зачем так странно называть файл . и вот что я выяснил : разработчик, чтобы исключить возможность линковки не с той библиотекой намутил такую генерацию имени. Это хеш от конкретного исходного текста. http://www.zytor.com/pipermail/klibc/2006-April/001465.html ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 04.08.2014, 03:35 |
|
||
|
debain и библиотека
|
|||
|---|---|---|---|
|
#18+
netwind, блин хорошо бы было сделать у линкса сервис, файло заливаешь, а оно говорит норм и не норм файло... давно уже пара сделать такое... чем сутками сидеть и выискивать откуда береться и что куда девается, ну так это фаЕл нормльный ? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 04.08.2014, 03:39 |
|
||
|
debain и библиотека
|
|||
|---|---|---|---|
|
#18+
может это уже какие-то закладки в debian появились ? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 04.08.2014, 03:47 |
|
||
|
debain и библиотека
|
|||
|---|---|---|---|
|
#18+
loginovrunetwind, блин хорошо бы было сделать у линкса сервис, файло заливаешь, а оно говорит норм и не норм файло... если этого не сделали, значит люди все же выбирают переустановку. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 04.08.2014, 10:50 |
|
||
|
debain и библиотека
|
|||
|---|---|---|---|
|
#18+
loginovruможет это уже какие-то закладки в debian появились ? tor - это ботнет. Ты к нему подключился и ещё чему-то удивляешься?.. Posted via ActualForum NNTP Server 1.5 ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 04.08.2014, 11:06 |
|
||
|
debain и библиотека
|
|||
|---|---|---|---|
|
#18+
loginovruчем сутками сидеть и выискивать откуда береться и что куда девается, ну так это фаЕл нормльный ? и сколько еще вам понадобится суток просидеть, чтобы понять, что переустановить - проще и практичнее ? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 04.08.2014, 11:08 |
|
||
|
debain и библиотека
|
|||
|---|---|---|---|
|
#18+
Dimitry Sibiryakovloginovruможет это уже какие-то закладки в debian появились ? tor - это ботнет. Ты к нему подключился и ещё чему-то удивляешься?.. подход в духе "лишь бы не на Windows", в которой, как считает ТС, АНБ кучу закладок оставила и постоянно следит за всеми ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 04.08.2014, 11:11 |
|
||
|
debain и библиотека
|
|||
|---|---|---|---|
|
#18+
Dimitry Sibiryakovloginovruможет это уже какие-то закладки в debian появились ? tor - это ботнет. Ты к нему подключился и ещё чему-то удивляешься?.. поподробнее, пожалуйста, насчет tor. по-вашему, сама установка ПО tor позволяет управлять злоумышленнику управлять компьютером удаленно ? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 04.08.2014, 11:11 |
|
||
|
debain и библиотека
|
|||
|---|---|---|---|
|
#18+
netwindпо-вашему, сама установка ПО tor позволяет управлять злоумышленнику управлять компьютером удаленно ? Да, если это ПО написано злоумышленником или использует организованную злоумышленником выходную точку. тынц В левом софте гораздо проще оставлять закладки чем в системе. Тем более таком, которое по определению принимает и устанавливает кучу соединений, проследить за каждым из которых хозяин компьютера не в состоянии. Posted via ActualForum NNTP Server 1.5 ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 04.08.2014, 11:53 |
|
||
|
debain и библиотека
|
|||
|---|---|---|---|
|
#18+
Dimitry Sibiryakov, так исходники же есть. возьмите и ткните в конкретную строчку кода. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 04.08.2014, 11:58 |
|
||
|
debain и библиотека
|
|||
|---|---|---|---|
|
#18+
Dimitry Sibiryakovnetwindпо-вашему, сама установка ПО tor позволяет управлять злоумышленнику управлять компьютером удаленно ? Да, если это ПО написано злоумышленником в данной ситуации ТС использует официальный пакет из debian исходники и патч на страничке можно найти https://packages.debian.org/ru/wheezy/tor или использует организованную злоумышленником выходную точку. тынц ничего не понял. ну, допустим, трафик ТС был перехвачен (даже скорее всего был). как именно факт разглашения его несомненно очень важной переписки с любовницей повлиял на возможность установки в этот конкретный дебиан исполняемого кода ? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 04.08.2014, 12:03 |
|
||
|
debain и библиотека
|
|||
|---|---|---|---|
|
#18+
netwindну, допустим, трафик ТС был перехвачен (даже скорее всего был). как именно факт разглашения его несомненно очень важной переписки с любовницей повлиял на возможность установки в этот конкретный дебиан исполняемого кода ? Если он пропускает через тор свой VPN/VirtualBox траффик (нарочно или по ошибке), то становится уязвимым к атаке man-in-the-middle против которой пасуют большинство протоколов уровня приложения. Злоумышленник получает его пароли, явки и доступ к серверу. Вуаля! Posted via ActualForum NNTP Server 1.5 ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 04.08.2014, 12:18 |
|
||
|
debain и библиотека
|
|||
|---|---|---|---|
|
#18+
Dimitry Sibiryakov, спорно. Пакеты в debian криптографически подписаны. И virtualbox вроде бы не обсуждался. Поэтому утверждать однозначно "используешь tor - ты на крючке" не стоит. Может быть какую-то роль использование tor сыграло в данном случае, а может и нет. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 04.08.2014, 12:32 |
|
||
|
debain и библиотека
|
|||
|---|---|---|---|
|
#18+
netwindloginovru, а мне интересно, зачем так странно называть файл . и вот что я выяснил : разработчик, чтобы исключить возможность линковки не с той библиотекой намутил такую генерацию имени. Это хеш от конкретного исходного текста. http://www.zytor.com/pipermail/klibc/2006-April/001465.html Какой тяжёло больной человек... ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 04.08.2014, 13:54 |
|
||
|
debain и библиотека
|
|||
|---|---|---|---|
|
#18+
Dimitry Sibiryakov, кстати, а нет ли по линукс типа PC HUNTER, как под винды ? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 04.08.2014, 15:41 |
|
||
|
debain и библиотека
|
|||
|---|---|---|---|
|
#18+
а вообще неплохо бы было сервис сделать такой как virustotal например, куда заливаешь файло, а оно говорит норм или не норм, или как облако у касперского ну что-то на подобии ведь правда такое очень нужно... даже более чем антивирусы... ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 04.08.2014, 15:59 |
|
||
|
debain и библиотека
|
|||
|---|---|---|---|
|
#18+
loginovru, зачем сервис ? я вам и так скажу : все ваш файло - НЕ НОРМ. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 04.08.2014, 16:15 |
|
||
|
debain и библиотека
|
|||
|---|---|---|---|
|
#18+
loginovru, и почему вы вообще решили, что код руткита вообще доступен в виде файлов файловой системы ? это не обязательно. Есть еще масса мест куда можно спрятать код. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 04.08.2014, 16:20 |
|
||
|
debain и библиотека
|
|||
|---|---|---|---|
|
#18+
netwind, куда именно ? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 04.08.2014, 16:26 |
|
||
|
debain и библиотека
|
|||
|---|---|---|---|
|
#18+
loginovrunetwind, куда именно ? да куда угодно. Он может перехватывать обращения стандартных команд и корректировать их вывод, удаляя себя из него. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 04.08.2014, 17:09 |
|
||
|
debain и библиотека
|
|||
|---|---|---|---|
|
#18+
bga83, такие вирусы могут только на уровне ядра работать kernel mode, в user mode так не получится.. а чтобы попасть в kernel надо от рута как минимум сделать видоизменения в ядре, или же от процесса который работет из под root, че-то я не припомню такие методы заражения... ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 04.08.2014, 17:18 |
|
||
|
debain и библиотека
|
|||
|---|---|---|---|
|
#18+
netwind, так постоянно выходя новые версии ядра, на это уходит много времени чтобы контролировать какие-то процессы в нем ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 04.08.2014, 17:20 |
|
||
|
debain и библиотека
|
|||
|---|---|---|---|
|
#18+
bga83, встречал когда было скрытие tcp/ip соединений (netstat много чего не видел) + полный рут доступ к системе, но при этом были изменены модули в ядре + само ядро... вот по этому не мешало бы создать сервис такой, для проверки ядра + модулей и библиотек, потому что эти все rkhunterы нифига не видят.... они не контролируют ядро и модули... ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 04.08.2014, 17:26 |
|
||
|
debain и библиотека
|
|||
|---|---|---|---|
|
#18+
loginovrubga83, такие вирусы могут только на уровне ядра работать kernel mode, в user mode так не получится.. а чтобы попасть в kernel надо от рута как минимум сделать видоизменения в ядре, или же от процесса который работет из под root, че-то я не припомню такие методы заражения... да не проблема. Тот же самый apache/nginx/все MTA стартуют с правами рута для того, чтобы была возможность открыть на прослушку порт в привилегированном диапазоне. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 04.08.2014, 17:26 |
|
||
|
debain и библиотека
|
|||
|---|---|---|---|
|
#18+
bga83, ну вот вы лично как исследуете систему на присутствие вредоноса ? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 04.08.2014, 17:35 |
|
||
|
debain и библиотека
|
|||
|---|---|---|---|
|
#18+
loginovrubga83, ну вот вы лично как исследуете систему на присутствие вредоноса ?если система досталась в наследство и что-то меня в ней не устраивает в части стабильности работы, то диагноз однозначен - переустановка ОС и настройка всего софта с нуля. Причем как правило оказывается, что половина того что есть в системе реально уже и не используется а такого чтобы выискивать в системе измененные бинарники/библиотеки, подобным не занимаюсь, пустая трата времени, проще и быстрее все переставить ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 04.08.2014, 17:41 |
|
||
|
debain и библиотека
|
|||
|---|---|---|---|
|
#18+
bga83, то есть и это касается и самой ОС ? лучше покупать лицензию - нежели качать из интернета типа оригинальные сборки ? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 04.08.2014, 17:47 |
|
||
|
debain и библиотека
|
|||
|---|---|---|---|
|
#18+
loginovrubga83, то есть и это касается и самой ОС ? лучше покупать лицензию - нежели качать из интернета типа оригинальные сборки ? во-первых в зависимости от задач выбирается та или иная платформа, на которой целесообразнее будет решать эти задачи. Во-вторых, когда речь идет о продукции MS, покупка лицензии не исключает скачивание из интернета оригинального образа. Под оригинальным образом я подразумеваю скачивание с сайта MS их образа ОС/софта, а не поиск по торентам каких-то поделий, которые якобы работают без проблем. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 04.08.2014, 18:06 |
|
||
|
debain и библиотека
|
|||
|---|---|---|---|
|
#18+
bga83, да там качать можно если подписка есть ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 04.08.2014, 18:10 |
|
||
|
debain и библиотека
|
|||
|---|---|---|---|
|
#18+
loginovrunetwind, куда именно ? куда угодно. да хоть в BIOS. да, это означает, что нужно покупать новый компьютер. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 04.08.2014, 18:32 |
|
||
|
debain и библиотека
|
|||
|---|---|---|---|
|
#18+
loginovrubga83, такие вирусы могут только на уровне ядра работать kernel mode, в user mode так не получится.. а чтобы попасть в kernel надо от рута как минимум сделать видоизменения в ядре А в чём проблема получить рута в линукс? За последние два года было выявлено несколько уязвимостей в ядре, позволяющих непривилегированному пользователю получить привилегии рута. Всем опеннетом запускали на локалхостах, прикола ради По секрету скажу, что в линуксах жизнеспособны только ядерные зловреды, и именно такие стараются писать в первую очередь. Что до проверки файлов и прочих мониторингов, то отследить ими, исполняющегося в ядре зловреда, вообще невозможно. Например, как юзерспайсовая тулза промониторит файлы, если зловред изменяет параметры файлов правкой их inode в файловой системе. Он с файлом делает что хочет и когда хочет, а юзерспайсовый агент получит ответ о том, что файл не изменялся последние сто лет. Как юзерспайсовый netstat или tcpdump определит наличие трафика, если зловред шлёт его, делая сразу Код: plaintext 1. в обход всего сетевого стека. Ему tcp хозяйство без надобности а ip протокол соблюсти вообще просто. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 04.08.2014, 18:36 |
|
||
|
debain и библиотека
|
|||
|---|---|---|---|
|
#18+
smald, ну я же почти о том же, сделать бы сервис которым можно мониторить изменения в ядре, потому что даже вот можно сесть и самому тулзу написать, но ядро постоянно видоизменянется то в него что-то добавляют то убирают и за этим не угонишься.. Если кто давано занимается компами должен помнить, что вирусы были всегда и в старом MS-DOS и ранее... просто они были проще и легко выявлялись, а сейчас конечно с этим дело все гораздо сложнее.... ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 04.08.2014, 19:09 |
|
||
|
debain и библиотека
|
|||
|---|---|---|---|
|
#18+
Под DOS этим занимался AVP от Касперского. Если такие продукты сейчас (тем более под линукс), даже не знаю IMHO (если я ничего не путаю) ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 04.08.2014, 19:12 |
|
||
|
debain и библиотека
|
|||
|---|---|---|---|
|
#18+
Leonid Kudryavtsev, под DOS занимался сначала Лозинский ))) ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 04.08.2014, 20:33 |
|
||
|
debain и библиотека
|
|||
|---|---|---|---|
|
#18+
loginovru, вот тебе еще информация к размышлению: пару лет назад Йоанна Рутковская демонстрировала "вирус" который прописывается в системе в качестве гипервизора и ОС начинает по сути работать поверх него. Что в итоге? - с точки зрения ОС все чисто, однако "вирус" живет своей жизнью и может делать незаметно для ОС все что угодно. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 05.08.2014, 10:16 |
|
||
|
debain и библиотека
|
|||
|---|---|---|---|
|
#18+
bga83, так я ж об этом выше уже и писал ) все это относится к манипуляциям ядра системы! А все что работает в ядре - это ring0 и найти его без утилит соотвествующих почти невозможно... под винды есть утила PC HUNTER называется, там можно кое-как поизучать, что происходит с системой ) А вот интересно под линукс есть че-то похожее ? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 05.08.2014, 13:59 |
|
||
|
debain и библиотека
|
|||
|---|---|---|---|
|
#18+
loginovruтак я ж об этом выше уже и писал ) все это относится к манипуляциям ядра системы!ты ни черта не понял из того, что я написал про Рутковскую. Ядро системы в ее случае остается не тронутым и ничего нового в ядре не запускается, просто между железом и ОС появляется дополнительная "прослойка", которая живет своей жизнью и стандартными способами не обнаруживается ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 05.08.2014, 14:58 |
|
||
|
debain и библиотека
|
|||
|---|---|---|---|
|
#18+
bga83, кстати, а драйвер является прослойкой между ОС и железом ? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 05.08.2014, 15:40 |
|
||
|
debain и библиотека
|
|||
|---|---|---|---|
|
#18+
bga83loginovruтак я ж об этом выше уже и писал ) все это относится к манипуляциям ядра системы!ты ни черта не понял из того, что я написал про Рутковскую. Ядро системы в ее случае остается не тронутым и ничего нового в ядре не запускается, просто между железом и ОС появляется дополнительная "прослойка", которая живет своей жизнью и стандартными способами не обнаруживается да все я понял, все равно будет висеть в памяти какая-то несуществующая на диске библиотека или драйвер например, но это не совсем прослойка... ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 05.08.2014, 15:47 |
|
||
|
debain и библиотека
|
|||
|---|---|---|---|
|
#18+
loginovrubga83пропущено... ты ни черта не понял из того, что я написал про Рутковскую. Ядро системы в ее случае остается не тронутым и ничего нового в ядре не запускается, просто между железом и ОС появляется дополнительная "прослойка", которая живет своей жизнью и стандартными способами не обнаруживается да все я понял, все равно будет висеть в памяти какая-то несуществующая на диске библиотека или драйвер например, но это не совсем прослойка... опять повторю - ты ни черта не понял, это ни драйвер и ни библиотека, это по сути гипервизор ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 05.08.2014, 16:30 |
|
||
|
debain и библиотека
|
|||
|---|---|---|---|
|
#18+
bga83, о каком гипервизоре идет речь ? напишите название от Рутковской ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 05.08.2014, 17:33 |
|
||
|
debain и библиотека
|
|||
|---|---|---|---|
|
#18+
loginovrubga83, о каком гипервизоре идет речь ? напишите название от РутковскойBlue Pill ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 05.08.2014, 17:47 |
|
||
|
debain и библиотека
|
|||
|---|---|---|---|
|
#18+
bga83, ага, почитал, но не написано самого интересного, как происходит заражение ? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 05.08.2014, 18:31 |
|
||
|
debain и библиотека
|
|||
|---|---|---|---|
|
#18+
loginovru, боюсь только один путь - нужно познакомиться с Дианой. Это было просто научное исследование. Но кто-то мог по его результатам написать свой гипервизор. А мог не написать. Поэтому все равно делайте переустановку. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 05.08.2014, 20:43 |
|
||
|
debain и библиотека
|
|||
|---|---|---|---|
|
#18+
netwind, так подскажите утилиты чем можно систему поизучать ? Есть ли такие для Linux ? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 06.08.2014, 00:21 |
|
||
|
debain и библиотека
|
|||
|---|---|---|---|
|
#18+
bga83, вы тут Blue Pill, а вот вам от АНБ методы ))) Вот теперь понятно как они файлы добывают ))) 1. GINSU — техника позволяющая восстановить программную закладку под названием KONGUR на целевых системах с аппаратной закладкой BULLDOZZER на PCI-шине. Например, в случае обновления или переустановки операционной системы на целевом компьютере. Данные технологии предназначены для получения удаленного доступа к компьютеру под управлением Windows от 9х до Vista. 2. IRATEMONK позволяет обеспечить присутствие программного обеспечения для слежки на настольных и портативных компьютерах с помощью закладки в прошивке жесткого диска, которая позволяет получить возможность исполнения своего кода путем замещения MBR. Метод работает на различных дисках Western Digital, Seagate, Maxtor и Samsung. Из файловых систем поддерживаются FAT, NTFS, EXT3 и UFS. Системы с RAID не поддерживаются. После внедрения IRATEMONK будет запускать свою функциональную часть при каждом включении целевого компьютера. это вообще жесть, с прошивкой жестко диска, замещение mbr..... 3. SWAP позволяет обеспечить присутствие программного обеспечения для шпионажа за счет использования BIOS материнской платы и HPA области жесткого диска путем исполнения кода до запуска операционной системы. Данная закладка позволяет получить удаленный доступ к различным операционным системам(Windows, FreeBSD, Linux, Solaris) c различными файловыми системами(FAT32, NTFS, EXT2, EXT3, UFS 1.0). Для установки используются две утилиты: ARKSTREAM перепрошивает BIOS, TWISTEDKILT записывает в HPA область диска SWAP и его функциональная часть. 4. COTTONMOUTH-II аппаратная USB-закладка предоставляющая скрытый канал доступа к сети цели. Данная закладка предназначена для работы на шасси компьютера и представляет собой двухпортовый USB-коннектор на плату. Может создавать скрытый канал связи для передачи команд и данных между аппаратными и программными закладками. 5. COTTONMOUTH-III аппаратная закладка в USB предоставляющая беспроводной мост к целевой сети, а также загрузки эксплойтов на целевой системе. В основе лежит элементная база TRINITY, в качестве радиопередатчика используется HOWLERMONKEY. Представляет собой блок разъемов(RJ45 и два USB) устанавливаемых на шасси, может взаимодействовать с другими COTTONMOUTH установленными на этом же шасси. 6. FIREWALK аппаратная сетевая закладка, способная пассивно собирать трафик сети Gigabit Ethernet, а также осуществлять активные инъекции в Ethernet пакеты целевой сети. Позволяет создавать VPN туннель между целевой сетью и центром. Возможно установление беспроводной коммуникации с другими HOWLERMONKEY-совместимыми устройствами. Исполнение данной закладки аналогично COTTONMOUTH-III, такой же блок разъемов(RJ45 и два USB) на шасси. В основе лежит элементная база TRINITY, в качестве радиопередатчика используется HOWLERMONKEY. вот это вообще пипец, скорее всего уже новые мамки наверняка с такими идут "изделиями" вот это самая жестка по всей видимости закладка, вот и как такое выявлять ???? )) а точнее чем ?? http://habrahabr.ru/post/209746/ ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 06.08.2014, 00:35 |
|
||
|
debain и библиотека
|
|||
|---|---|---|---|
|
#18+
netwind, так давайте познакомимся - мож че интересного расскажет про комп. безопасность и наверняка у нее утилы есть для анализа системы ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 06.08.2014, 00:44 |
|
||
|
debain и библиотека
|
|||
|---|---|---|---|
|
#18+
loginovru, сказать правду? у меня сложилось о тебе впечатление как о безграмотном параноике, в духе школьников кричащих windows mast die, но при этом ни черта не не понимающих в вопросах о которых рассуждают. Половина тех ссылок, которые ты приводишь, если и можно назвать уязвимостями, то при грамотной организации сети ими все равно воспользоваться не выйдет. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 06.08.2014, 09:34 |
|
||
|
|
start [/forum/topic.php?all=1&fid=25&tid=1482437]: |
0ms |
get settings: |
11ms |
get forum list: |
14ms |
check forum access: |
4ms |
check topic access: |
4ms |
track hit: |
83ms |
get topic data: |
13ms |
get forum data: |
2ms |
get page messages: |
84ms |
get tp. blocked users: |
2ms |
| others: | 12ms |
| total: | 229ms |
| 0 / 0 |
Извините, этот баннер — требование Роскомнадзора для исполнения 152 ФЗ.
«На сайте осуществляется обработка файлов cookie, необходимых для работы сайта, а также для анализа использования сайта и улучшения предоставляемых сервисов с использованием метрической программы Яндекс.Метрика. Продолжая использовать сайт, вы даёте согласие с использованием данных технологий».
... ля, ля, ля ...
