Старый 15.03.2011, 09:18   #11
SynQ
 
Регистрация: 11.07.2010
Сообщений: 953
Репутация: 352
По умолчанию

Мне тоже непонятно, как оно должно работать из профайла. Заставить то можно залогинившись и запустив что-нибудь, только какой смысл, обычный bindshell проще.

С ld.so.preload, тоже пара проблем: нужно быть рутом, нужно проверить не будет ли падения скорости на серверах с большой нагрузкой, и по-моему, это большое палево, ls /etc довольно часто делают. Хотя в мануалах по проверке на бэкдоры этот файл и не упоминается, но я бы обратил на него внимание.

PS Если оставлять в ld.so.preload можно сразу еще сделать обертку для setuid(), чтобы рута затем получить.
SynQ вне форума   Ответить с цитированием
Старый 15.03.2011, 14:27   #12
tex
 
Регистрация: 26.12.2010
Сообщений: 135
Репутация: 41
По умолчанию

Вот насчет setuid- если запущен демон sshd на сервере к примеру, и мы пытаемся через его accept получить бекдор- то он и так будет под рутом, так как sshd запущен под рутом, ну и так же с остальными демонами.
tex вне форума   Ответить с цитированием
Старый 15.03.2011, 17:26   #13
SynQ
 
Регистрация: 11.07.2010
Сообщений: 953
Репутация: 352
По умолчанию

С этим согласен, я правда думал об апачи, когда писал, он (как и vsftpd, вероятно - у него хитрая модель с 2 взаимодействующими процессами на каждый коннект) рута не даст похоже.
SynQ вне форума   Ответить с цитированием
Старый 17.03.2011, 03:09   #14
tex
 
Регистрация: 26.12.2010
Сообщений: 135
Репутация: 41
По умолчанию

Вот еще бы шифрование прикрутить, для защиты от снифа трафика, была бы отличная весч


UPD
у меня вот между прочим только на sshd и срабатывает почему то..
tex вне форума   Ответить с цитированием
Старый 17.03.2011, 14:55   #15
SynQ
 
Регистрация: 11.07.2010
Сообщений: 953
Репутация: 352
По умолчанию

В тему о "всё новое - хорошо забыто старое": http://seclists.org/incidents/2002/Jan/86

tex
У меня на апаче на юбунте 8.04 работает, на mysql нет - сыпет в /var/log/messages
Цитата:
Mar 17 04:48:28 yup-desktop kernel: [ 852.883894] audit(1300362508.457:9): type=1503 operation="inode_permission" requested_mask="r::" denied_mask="r::" name="/etc/ld.so.preload" pid=7150 profile="/usr/sbin/mysqld" namespace="default"
Хотя он вполне себе

Цитата:
yup@yup-desktop:/tmp$ file /usr/sbin/mysqld
/usr/sbin/mysqld: ELF 64-bit LSB executable, x86-64, version 1 (SYSV), for GNU/Linux 2.6.8, dynamically linked (uses shared libs), stripped
PS Может это apparmor?
PPS После выхода в процессах остается висеть некрасивое " 7239 ? Z 0:00 [sh] <defunct>"

Последний раз редактировалось SynQ; 17.03.2011 в 14:58..
SynQ вне форума   Ответить с цитированием
Старый 17.03.2011, 16:56   #16
oRb
 
Аватар для oRb
 
Регистрация: 01.07.2010
Сообщений: 319
Репутация: 138
По умолчанию

Цитата:
PS Может это apparmor?
Он самый.
__________________
Не оказываю никаких услуг.
I don't provide any services.
oRb вне форума   Ответить с цитированием
Ответ

Опции темы Поиск в этой теме
Поиск в этой теме:

Расширенный поиск
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход



Powered by vBulletin® Version 3.8.5
Copyright ©2000 - 2019, Jelsoft Enterprises Ltd. Перевод: zCarot