16 Mar
2014
16 Mar
'14
12:54 a.m.
Diky za podrobnou odpoved, jsem se z toho dost naucil.
On 03/15/2014 11:20 PM, Pavel Snajdr wrote:
Tady jen drobna poznamka pro lidi, co treba taky rkhunter pouzivaji - rkhunter
je "prvni linie obrany" proti backdoorum, ale mam cim dal vic pocit, ze uz
hodne
outdated v principech, ktere pouziva.
Doporucuji napriklad analyzu Ebury backdooru:
http://www.welivesecurity.com/2014/02/21/an-in-depth-analysis-of-linuxebury/
Nad tim kodem se nekdo zamyslel a stravil na tom pravdepodobne nezanedbatelny
cas. Krome featur jako pouzivani obskurnich gcc atributu
"__attribute__((constructor))" to sleduje, jestli je sitovka v promiskuitnim
rezimu (a pak nic neposila) a zaroven exfiltruje hesla pres DNS (kdo filtruje
DNS?).
Tady treba rkhunter nezabere, protoze to exploituje vlastnosti dynamickeho
linkeru. Patchuje to instrukce v binarce a ma dokonce vlastni SIGSEGV handler,
coz se moc casto nevidi.
Ondro
On 03/15/2014 10:52 PM, Ondrej Mikle wrote:
OK.
ma OpenVZ vlastnost, ze napriklad pri
premigrovani kontejneru nebo
nejake jine zmene se taky zmeni inode numbers souboru na
filesystemu?
A jeste jsem ti neodpovedel uplne, tvoji VPS jsem prave migroval
nedavno z ext node na ZFS node, to zpusobilo tu zmenu inodu. Dal tedka
jakakoliv obnova ze zalohy, dalsi migrace atd. bude menit cisla inodu. Ale jakmile budeme ZFS only, povolime send/recv
funkcionalitu a pak by
mel ten filesystem VPS vypadat porad konzistentne v case, at je uz se
na ten cilovej node dostal migraci nebo obnovenim ze zalohy.
Osobne mi prijde ZFS jako velmi dobry filesystem, mozna to kapku prehnali s
pouzitim SHA256 na "error-detection/integrity protection" (postacila by
jednodussi funkce). Ale jsem rad, ze ZFS driver pro linux je uz pouzitelny :-)
Ptam se proto,
ze rkhunter to "spatne nese" a reportuje to. Pri
porovnani SHA256 checksumu s cistym systemem i s rpm --verify
checksumy sedi. Souboru se zmenenym inode je velka spousta, tim
padem z predchoziho vyplyva, ze jde o spis false alarm.
Jop, a to neni jedina aplikace, kterou to afektuje, i trivialnejsi
programy se ridi cislem inodu (tusim i treba git tak detekuje mv souboru).