Eugene Berdnikov <bd4@protva.ru> writes: > On Sun, Jul 20, 2014 at 11:20:26PM +0400, Dmitrii Kashin wrote: >> Eugene Berdnikov <bd4@protva.ru> writes: > ... >> > Я бы скормил этот файл антивирусу и/или отправил на исследование в >> > ДрВеб или Касперскому. Более того, желательно проверить всю машину >> > каким-нибудь антируткитом и подумать о переустановке системы. >> >> Допустим, что это руткит. Раз переустановка пакета не возымела эффекта - >> значит зловред не (только) там. Вопрос - где именно? > > Скорее всего, руткитовский код сидит в нескольких системных демонах, > которые обязательно запущены в любой системе. В этом смысле exim4 очень > хорош как кандидат на подселение, вместе с init, udevd, inetd, sshd... Ну да, старая тема. Надо их усыплять, и искать вредителя дальше. Но опять же, если это действительно зловред. А то мы от тредстартера как-то мало информации получили. Меня настораживает неполнота картины. >> Допустим, что он (где бы там ни был) отслеживает изменение файла >> /usr/sbin/exim4 и модифицирует его. Раз файл в пакете - правильный, то >> давайте его возьмём и тупо подменим тот, который сейчас лежит в системе, >> при этом в то же время натравим на него, к примеру, `watch ls -l'. Если >> зловред попытается изменить файл - то тем самым себя скомпрометирует, и >> можно будет отловить, где же он там сидит. > > Лучше чем watch является решение с inotify, потому что можно повесить > триггер прямо на событие модификации файла (IN_MODIFY). К сожалению, > API inotify не даёт pid процесса, который производит обращение к файлу, > но зато реакция настолько быстрая, что можно успеть просканировать > дескрипторы в /proc и найти вредителя. Хм... Я, вообще говоря, надеялся, что strace поможет. А сканировать дескрипторы /proc - это как-то... Неправильно. > Только нужно понимать, что руткиты имеют обыкновение подменять > системный утиль, чтобы прятаться, так что нужно сканировать надёжными > средствами, лучше своим кодом. Для организации триггеров inotify > можно взять пакет incron. Да чем хотите. Я про watch писал исключительно, чтобы выяснить факт подмены. Как искать - это уже отдельный вопрос, который требует отдельного обсуждения. И прежде, чем им заниматься, давайте-ка всё же докажем, что зловред действительно существует. > Более правильным решением был бы ядерный аудит, но я не знаю, как нынче > обстоят дела с ним в дебиане... вижу что auditd в репах имеется. Боюсь, я просто не знаю, что такое "ядерный аудит".
Attachment:
pgpFklenDL8Hx.pgp
Description: PGP signature