|
|
|
debain и библиотека
|
|||
|---|---|---|---|
|
#18+
Dimitry Sibiryakov, спорно. Пакеты в debian криптографически подписаны. И virtualbox вроде бы не обсуждался. Поэтому утверждать однозначно "используешь tor - ты на крючке" не стоит. Может быть какую-то роль использование tor сыграло в данном случае, а может и нет. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 04.08.2014, 12:32 |
|
||
|
debain и библиотека
|
|||
|---|---|---|---|
|
#18+
netwindloginovru, а мне интересно, зачем так странно называть файл . и вот что я выяснил : разработчик, чтобы исключить возможность линковки не с той библиотекой намутил такую генерацию имени. Это хеш от конкретного исходного текста. http://www.zytor.com/pipermail/klibc/2006-April/001465.html Какой тяжёло больной человек... ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 04.08.2014, 13:54 |
|
||
|
debain и библиотека
|
|||
|---|---|---|---|
|
#18+
Dimitry Sibiryakov, кстати, а нет ли по линукс типа PC HUNTER, как под винды ? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 04.08.2014, 15:41 |
|
||
|
debain и библиотека
|
|||
|---|---|---|---|
|
#18+
а вообще неплохо бы было сервис сделать такой как virustotal например, куда заливаешь файло, а оно говорит норм или не норм, или как облако у касперского ну что-то на подобии ведь правда такое очень нужно... даже более чем антивирусы... ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 04.08.2014, 15:59 |
|
||
|
debain и библиотека
|
|||
|---|---|---|---|
|
#18+
loginovru, зачем сервис ? я вам и так скажу : все ваш файло - НЕ НОРМ. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 04.08.2014, 16:15 |
|
||
|
debain и библиотека
|
|||
|---|---|---|---|
|
#18+
loginovru, и почему вы вообще решили, что код руткита вообще доступен в виде файлов файловой системы ? это не обязательно. Есть еще масса мест куда можно спрятать код. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 04.08.2014, 16:20 |
|
||
|
debain и библиотека
|
|||
|---|---|---|---|
|
#18+
netwind, куда именно ? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 04.08.2014, 16:26 |
|
||
|
debain и библиотека
|
|||
|---|---|---|---|
|
#18+
loginovrunetwind, куда именно ? да куда угодно. Он может перехватывать обращения стандартных команд и корректировать их вывод, удаляя себя из него. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 04.08.2014, 17:09 |
|
||
|
debain и библиотека
|
|||
|---|---|---|---|
|
#18+
bga83, такие вирусы могут только на уровне ядра работать kernel mode, в user mode так не получится.. а чтобы попасть в kernel надо от рута как минимум сделать видоизменения в ядре, или же от процесса который работет из под root, че-то я не припомню такие методы заражения... ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 04.08.2014, 17:18 |
|
||
|
debain и библиотека
|
|||
|---|---|---|---|
|
#18+
netwind, так постоянно выходя новые версии ядра, на это уходит много времени чтобы контролировать какие-то процессы в нем ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 04.08.2014, 17:20 |
|
||
|
debain и библиотека
|
|||
|---|---|---|---|
|
#18+
bga83, встречал когда было скрытие tcp/ip соединений (netstat много чего не видел) + полный рут доступ к системе, но при этом были изменены модули в ядре + само ядро... вот по этому не мешало бы создать сервис такой, для проверки ядра + модулей и библиотек, потому что эти все rkhunterы нифига не видят.... они не контролируют ядро и модули... ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 04.08.2014, 17:26 |
|
||
|
debain и библиотека
|
|||
|---|---|---|---|
|
#18+
loginovrubga83, такие вирусы могут только на уровне ядра работать kernel mode, в user mode так не получится.. а чтобы попасть в kernel надо от рута как минимум сделать видоизменения в ядре, или же от процесса который работет из под root, че-то я не припомню такие методы заражения... да не проблема. Тот же самый apache/nginx/все MTA стартуют с правами рута для того, чтобы была возможность открыть на прослушку порт в привилегированном диапазоне. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 04.08.2014, 17:26 |
|
||
|
debain и библиотека
|
|||
|---|---|---|---|
|
#18+
bga83, ну вот вы лично как исследуете систему на присутствие вредоноса ? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 04.08.2014, 17:35 |
|
||
|
debain и библиотека
|
|||
|---|---|---|---|
|
#18+
loginovrubga83, ну вот вы лично как исследуете систему на присутствие вредоноса ?если система досталась в наследство и что-то меня в ней не устраивает в части стабильности работы, то диагноз однозначен - переустановка ОС и настройка всего софта с нуля. Причем как правило оказывается, что половина того что есть в системе реально уже и не используется а такого чтобы выискивать в системе измененные бинарники/библиотеки, подобным не занимаюсь, пустая трата времени, проще и быстрее все переставить ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 04.08.2014, 17:41 |
|
||
|
debain и библиотека
|
|||
|---|---|---|---|
|
#18+
bga83, то есть и это касается и самой ОС ? лучше покупать лицензию - нежели качать из интернета типа оригинальные сборки ? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 04.08.2014, 17:47 |
|
||
|
debain и библиотека
|
|||
|---|---|---|---|
|
#18+
loginovrubga83, то есть и это касается и самой ОС ? лучше покупать лицензию - нежели качать из интернета типа оригинальные сборки ? во-первых в зависимости от задач выбирается та или иная платформа, на которой целесообразнее будет решать эти задачи. Во-вторых, когда речь идет о продукции MS, покупка лицензии не исключает скачивание из интернета оригинального образа. Под оригинальным образом я подразумеваю скачивание с сайта MS их образа ОС/софта, а не поиск по торентам каких-то поделий, которые якобы работают без проблем. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 04.08.2014, 18:06 |
|
||
|
debain и библиотека
|
|||
|---|---|---|---|
|
#18+
bga83, да там качать можно если подписка есть ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 04.08.2014, 18:10 |
|
||
|
debain и библиотека
|
|||
|---|---|---|---|
|
#18+
loginovrunetwind, куда именно ? куда угодно. да хоть в BIOS. да, это означает, что нужно покупать новый компьютер. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 04.08.2014, 18:32 |
|
||
|
debain и библиотека
|
|||
|---|---|---|---|
|
#18+
loginovrubga83, такие вирусы могут только на уровне ядра работать kernel mode, в user mode так не получится.. а чтобы попасть в kernel надо от рута как минимум сделать видоизменения в ядре А в чём проблема получить рута в линукс? За последние два года было выявлено несколько уязвимостей в ядре, позволяющих непривилегированному пользователю получить привилегии рута. Всем опеннетом запускали на локалхостах, прикола ради По секрету скажу, что в линуксах жизнеспособны только ядерные зловреды, и именно такие стараются писать в первую очередь. Что до проверки файлов и прочих мониторингов, то отследить ими, исполняющегося в ядре зловреда, вообще невозможно. Например, как юзерспайсовая тулза промониторит файлы, если зловред изменяет параметры файлов правкой их inode в файловой системе. Он с файлом делает что хочет и когда хочет, а юзерспайсовый агент получит ответ о том, что файл не изменялся последние сто лет. Как юзерспайсовый netstat или tcpdump определит наличие трафика, если зловред шлёт его, делая сразу Код: plaintext 1. в обход всего сетевого стека. Ему tcp хозяйство без надобности а ip протокол соблюсти вообще просто. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 04.08.2014, 18:36 |
|
||
|
debain и библиотека
|
|||
|---|---|---|---|
|
#18+
smald, ну я же почти о том же, сделать бы сервис которым можно мониторить изменения в ядре, потому что даже вот можно сесть и самому тулзу написать, но ядро постоянно видоизменянется то в него что-то добавляют то убирают и за этим не угонишься.. Если кто давано занимается компами должен помнить, что вирусы были всегда и в старом MS-DOS и ранее... просто они были проще и легко выявлялись, а сейчас конечно с этим дело все гораздо сложнее.... ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 04.08.2014, 19:09 |
|
||
|
debain и библиотека
|
|||
|---|---|---|---|
|
#18+
Под DOS этим занимался AVP от Касперского. Если такие продукты сейчас (тем более под линукс), даже не знаю IMHO (если я ничего не путаю) ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 04.08.2014, 19:12 |
|
||
|
debain и библиотека
|
|||
|---|---|---|---|
|
#18+
Leonid Kudryavtsev, под DOS занимался сначала Лозинский ))) ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 04.08.2014, 20:33 |
|
||
|
debain и библиотека
|
|||
|---|---|---|---|
|
#18+
loginovru, вот тебе еще информация к размышлению: пару лет назад Йоанна Рутковская демонстрировала "вирус" который прописывается в системе в качестве гипервизора и ОС начинает по сути работать поверх него. Что в итоге? - с точки зрения ОС все чисто, однако "вирус" живет своей жизнью и может делать незаметно для ОС все что угодно. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 05.08.2014, 10:16 |
|
||
|
debain и библиотека
|
|||
|---|---|---|---|
|
#18+
bga83, так я ж об этом выше уже и писал ) все это относится к манипуляциям ядра системы! А все что работает в ядре - это ring0 и найти его без утилит соотвествующих почти невозможно... под винды есть утила PC HUNTER называется, там можно кое-как поизучать, что происходит с системой ) А вот интересно под линукс есть че-то похожее ? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 05.08.2014, 13:59 |
|
||
|
debain и библиотека
|
|||
|---|---|---|---|
|
#18+
loginovruтак я ж об этом выше уже и писал ) все это относится к манипуляциям ядра системы!ты ни черта не понял из того, что я написал про Рутковскую. Ядро системы в ее случае остается не тронутым и ничего нового в ядре не запускается, просто между железом и ОС появляется дополнительная "прослойка", которая живет своей жизнью и стандартными способами не обнаруживается ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 05.08.2014, 14:58 |
|
||
|
|
start [/forum/topic.php?fid=25&msg=38713043&tid=1482437]: |
0ms |
get settings: |
10ms |
get forum list: |
14ms |
check forum access: |
4ms |
check topic access: |
4ms |
track hit: |
161ms |
get topic data: |
12ms |
get forum data: |
3ms |
get page messages: |
66ms |
get tp. blocked users: |
2ms |
| others: | 14ms |
| total: | 290ms |
| 0 / 0 |
Извините, этот баннер — требование Роскомнадзора для исполнения 152 ФЗ.
«На сайте осуществляется обработка файлов cookie, необходимых для работы сайта, а также для анализа использования сайта и улучшения предоставляемых сервисов с использованием метрической программы Яндекс.Метрика. Продолжая использовать сайт, вы даёте согласие с использованием данных технологий».
... ля, ля, ля ...
