форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы Разговоры, обсуждение новостей (Public)
Изначальное сообщение		[ Отслеживать ]

"OpenNews: Unhide - утилита для обнаружения скрытых процессов..."

Сообщение от opennews (??) on 28-Июн-08, 22:50

"Unhide (http://www.security-projects.com/?Unhide)" - утилита для обнаружения скрытых процессов и закамуфлированных TCP/UDP портов, созданных в результате активности руткитов или враждебных модулей Linux ядра. Для обнаружения скрытых процессов используется сверка содержимого /proc с выводом команды ps и данными полученными через системные вызовы. Кроме того, реализован режим обнаружения скрытых сетевых портов и процессов через полный тестовый перебор всех портов и PID номеров. URL: http://www.security-projects.com/?Unhide Новость: http://www.opennet.dev/opennews/art.shtml?num=16707

Высказать мнение | Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по ответам | RSS]

	1. "Unhide - утилита для обнаружения скрытых процессов "
	Сообщение от Аноним (??) on 28-Июн-08, 22:50
	Велосипед, ибо sudo lsof -i
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	2. "Unhide - утилита для обнаружения скрытых процессов "
	Сообщение от Антон (??) on 28-Июн-08, 23:13
	>Велосипед, ибо sudo lsof -i При запущенном рутките lsof не покажет скрытого порта, а вот bruteforce его выявить поможет.
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	3. "Unhide - утилита для обнаружения скрытых процессов "
	Сообщение от User294 (ok) on 29-Июн-08, 00:03
	>Велосипед, ибо sudo lsof -i Ага, умные все.А вы и правда думаете что хакеры и те кто пишет руткиты настолько дебилы?Вообще-то основная идея руткита как раз в том чтобы система не выдавала присутствия хакера ни в каком виде, иногда слегка привирая в результатах системных вызовов и т.п.. Для этого руткиты скажем, грузят модуль ядра например.Или пытаются втулитьяс между библиотеками и программой.Чтобы контролировать что программа получит как результат и поубирать себя любимого и "защищаемые" процессы нафиг из мест где их наличие может запалиться.Специально чтобы показать кукиш таким как вы шибко умным админам.Так что с качественным руткитом вы там нифига такого особенного можете и не увидеть :P А вот описанные методы ... ну вот по косвенным признакам возможное наличие руткита как раз и можно спалить.Вполне нормально придумано имхо :)
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	4. "Unhide - утилита для обнаружения скрытых процессов "
	Сообщение от pavlinux (ok) on 29-Июн-08, 00:42
	Руткиты и трояны нужны, из-за них будут увольнять ламероадминоффф, ибо это единственная дыра в Unix.
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	5. "Unhide - утилита для обнаружения скрытых процессов "
	Сообщение от szh (ok) on 29-Июн-08, 00:59
	Если ты боишься конкуренции со стороны ламероадминов, значит сам ты почти ламер. Ламероадмины нужны для конкуренции с Майкрософт. Чтобы unix ламероадмин стоил не дороже виндового ламероадмина. А руткиты следовательно только мешают.
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	6. "Unhide - утилита для обнаружения скрытых процессов "
	Сообщение от Аноним (??) on 29-Июн-08, 03:14
	>При запущенном рутките lsof не покажет скрытого порта, а вот bruteforce его выявить поможет. А вам не кажется, что алгоритм у этих утилит одинаков? Только у lsof малость побольше возможностей. Да и по умолчанию, lsof в дистрибутивах не встречается. Все же -- велосипед.
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	7. "Unhide - утилита для обнаружения скрытых процессов "
	Сообщение от Аноним (??) on 29-Июн-08, 03:20
	>>Велосипед, ибо sudo lsof -i > >Ага, умные все.А вы и правда думаете что хакеры и те кто >пишет руткиты настолько дебилы? Да, именно так и считаю, человек который пишет руткит и называет себя при этом хакером, явный дебил. >Для этого руткиты скажем, грузят модуль ядра например. Ну тогда вам ничего уже не поможет. Кроме как анализа трафика на шлюзе, и предварительно настроенного SELinux.
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	8. "Unhide - утилита для обнаружения скрытых процессов "
	Сообщение от Demimurych on 29-Июн-08, 12:13
	Не вполне понял в чем отличие от chkrootkit который делает все то же самое и больше?
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	9. "Unhide - утилита для обнаружения скрытых процессов "
	Сообщение от alexxy on 29-Июн-08, 13:19
	Вообще то lsof просто показывает все открытые на чтение или запись дескрипторы Так что она покажет все процессы. Если конечно ее не успели подменить. =)
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	10. "Unhide - утилита для обнаружения скрытых процессов "
	Сообщение от Аноним (??) on 29-Июн-08, 13:47
	а насколько brute дает ошибочно позитивные результаты?
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	11. "Unhide - утилита для обнаружения скрытых процессов "
	Сообщение от Аноним (??) on 29-Июн-08, 16:03
	>а насколько brute дает ошибочно позитивные результаты? собственно вот проверил, на фоне запущенного гуглдесктопа можно стать форменным параноиком :)))
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	12. "Unhide - утилита для обнаружения скрытых процессов "
	Сообщение от pavlinux (ok) on 29-Июн-08, 16:50
	Дык, а как тогда отличить ламероадмина от не ламеро... Только по кол-ву дырок на серваке! Дипломы, сертификаты или звание академика АН СССР/РФ не спасут :)
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	13. "Unhide - утилита для обнаружения скрытых процессов "
	Сообщение от Оммм on 29-Июн-08, 18:15
	>Не вполне понял в чем отличие от chkrootkit который делает все то же самое и больше? он не пытается проверить скрытых портов
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	14. "Unhide - утилита для обнаружения скрытых процессов "
	Сообщение от Оммм on 29-Июн-08, 18:24
	lsof/ps/top/ls -la /proc - это все юзерлевел тулзы, при использовании кернел руткита, они безполезны принцип работы чекруткитов/ркхантеров и этого анхайда простой как двери: последовательно заходится в каждую диру /proc/1 .. /proc/65355 (что по номеру пида), если в диру с пидом 666 пустило, а его нету в выводе ps (lsof или top или ваша любимая юзерлевел гляделка процесов) - значит есть скрытй процес поэтому аноним, выскочка! ты должен умереть!
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	15. "Unhide - утилита для обнаружения скрытых процессов "
	Сообщение от Аноним (??) on 29-Июн-08, 19:55
	>>Дык, а как тогда отличить ламероадмина от не ламеро... >>Только по кол-ву дырок на серваке! Ну вот тебе пример - у одного админа-параноика стоят 3 сервера с OpenBSD и он круглосуточно там руткиты ищет, а у другого - сотня линуксовых с редхатом и развёрнутыми приложениями и тысячи юзеров. Вопрос - кто из них недоадмин?
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	16. "Unhide - утилита для обнаружения скрытых процессов "
	Сообщение от pavlinux (ok) on 29-Июн-08, 21:34
	>>>Дык, а как тогда отличить ламероадмина от не ламеро... >>>Только по кол-ву дырок на серваке! > >Ну вот тебе пример - у одного админа-параноика стоят 3 сервера с >OpenBSD и он круглосуточно там руткиты ищет, а у другого - >сотня линуксовых с редхатом и развёрнутыми приложениями и тысячи юзеров. > >Вопрос - кто из них недоадмин? Тут уже вопрос о важности данных на серверах. на 100 RedHat_x можно крутить чат сексуальных меньшинств, а на 3-х O'BSD банковский сервер.
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	17. "Unhide - утилита для обнаружения скрытых процессов "
	Сообщение от User294 (ok) on 29-Июн-08, 23:57
	> Да, именно так и считаю, человек который пишет руткит и называет себя > при этом хакером, явный дебил. Простите, а судьи кто?И собственно почему мнение какого-то безвестного анонима - вообще что-то значит?Если некто написал руткит, как минимум он разбирается в работе этой ОС, имеет непозорный IQ и действующий мозг.И некоторое уважение это вызывает.Игнорирование существования таких фруктов - чревато.А те кто считает себя самыми умными на поверку обычно лишь самоуверенные но глуповатые зазнайки. >Ну тогда вам ничего уже не поможет. То есть до того как ответить сюда и схлопотать мой ответ вы стало быть вообще не знали что такое руткит?Так это следует понимать?Тогда я вероятно не ошибся в своей классификации кто есть кто. >Кроме как анализа трафика на шлюзе, Траффик оно конечно да, но как видите есть косвенные методы отлова руткита.Если в комнате есть невидимый предмет, можно сколько угодно пялиться пытаясь его найти.А вот если ощупать все на предмет соответствия - разница в видимом и ощущаемом быстренько всплывет :) > и предварительно настроенного SELinux. Ну, если вам уже подгрузили руткит и он работает на уровне ядра то в принципе ничто не запрещает покласть на этот самый SELinux при должном желании.А кто ядру то чего-то запретит?Оно на то и ядро что ему все можно.А так если уж паранойя шибко долбит - можно ядро перекомпилять с запретом загрузки модулей.Геморройно.Но можно.Тогда хаксоры не смогут модули подгружать и как минимум "кернельный" вариант руткитов слегка пролетает.Еще в всяких там OpenVZ и FreeVPS виртуалки в guest системе выглядят ну точь в точь как настоящие машины с рутом.Кроме того что модули в ядро хрен загрузишь из такой машины.Посему виртуализованное окружение может представлять из себя некоторый геморрой для хацкеров. ЗЫ кстати от подобных самоуверенных куль-админов насколько я знаю хаксорам еще сто лет назад помогал без всяких руткитов простой, боянный и тривиальный фокус: скопировать в определенную папку всю незатрояненую еще систему и настроить админу туда чрут, так что незадачливый админ всегда будет видеть отличную чистенькую систему :)
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	18. "Unhide - утилита для обнаружения скрытых процессов "
	Сообщение от User294 (ok) on 30-Июн-08, 00:00
	>на 100 RedHat_x можно крутить чат сексуальных меньшинств, а на 3-х O'BSD >банковский сервер. А то банковские сервера не ломают :).И кстати банков с рас3.14...ским администрежем не то чтобы сильно мало.
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	19. "Unhide - утилита для обнаружения скрытых процессов "
	Сообщение от pavlinux (ok) on 30-Июн-08, 05:56
	Дык, в России это нестрашно, мы ещё на бумагах сидим.... К примеру, если сервант рухнит все доки, счета можно будет восстановить по бумажкам. Вот начальство и не парится, отправили транзаку за день до 16:00, в ЦБ и счастье есть, а UNIX админы, Cisco инженеры мышки меняют и бумагу из принтеров вынимают.
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	20. "Unhide - утилита для обнаружения скрытых процессов "
	Сообщение от Аноним (??) on 30-Июн-08, 10:39
	>(lsof или top или ваша любимая юзерлевел гляделка процесов) - значит >есть скрытй процес весьма странно что у lsof именно такой-же алгоритм, или вы знаете как еще получить список процессов и дескрипторов, кроме как при помощи обхода каталогов и просмотра файлов в /proc >поэтому аноним, выскочка! ты должен умереть! Я знаю, все там будем.
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	21. "Unhide - утилита для обнаружения скрытых процессов "
	Сообщение от Оммм on 30-Июн-08, 12:33
	>>(lsof или top или ваша любимая юзерлевел гляделка процесов) - значит >>есть скрытй процес > >весьма странно что у lsof именно такой-же алгоритм, или вы знаете как >еще получить >список процессов и дескрипторов, кроме как при помощи обхода каталогов и просмотра >файлов в /proc в том-то и дело, что все гляделки поступают коректно, просто смотря какие есть файлы в дире  /proc для примера, adore вешает свои обработчики на proc_readdir, и в зависимости от "настроек скрытности процеса" возвращает файл (/proc/PID) или нет, соответсвенно, наш скрытый пид под номером 666 не виден в директории и его не будит видеть НИОДНА юзерлевел гляделка процесов, но в диру зайти можно ("в слепую", что и делают брутфорс перебором аля всякие чекруткиты), потому что процес есть в системе и структуры процеса есть (ибо полностью их убрать нельзя, а то ядро его шедулить не будит %)
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	22. "Unhide - утилита для обнаружения скрытых процессов "
	Сообщение от Аноним (??) on 30-Июн-08, 13:49
	>для примера, adore вешает свои обработчики на proc_readdir, и в зависимости от "настроек скрытности процеса" возвращает файл (/proc/PID) или нет, соответсвенно, наш скрытый пид под номером 666 Эммм... а можно системный вызов привести, для создания скрытого, таким образом, процесса.
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	23. "Unhide - утилита для обнаружения скрытых процессов "
	Сообщение от Аноним (??) on 30-Июн-08, 17:39
	>>для примера, adore вешает свои обработчики на proc_readdir, и в зависимости от "настроек скрытности процеса" возвращает файл (/proc/PID) или нет, соответсвенно, наш скрытый пид под номером 666 > >Эммм... а можно системный вызов привести, для создания скрытого, таким образом, процесса. > Видите ли коллега :) "настроек скрытности процесса" в стандартном fork/exec не существует, руткит который бы это использовал должен был бы модифицировать чуть ли не половину ядра, включая init, vfs и планировщик.  Гоните дальше.
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	24. "Unhide - утилита для обнаружения скрытых процессов "
	Сообщение от Оммм on 01-Июл-08, 13:25
	>Эммм... а можно системный вызов привести, для создания скрытого, таким образом, процесса. этот функционал как раз и реализует руткит :) в ваниле вы такого не найдете %) >Видите ли коллега :) "настроек скрытности процесса" в стандартном fork/exec не существует, >руткит который бы это использовал должен был бы модифицировать чуть ли >не половину ядра, включая init, vfs и планировщик.  Гоните дальше. Сударь, гоните вы, просто потому, что понятия зеленого не имеете о сути вещей о которых говорите, ваши убеждения основаны на ваших же домыслах, это вам КАЖЕТСЯ что нужно менять что-то в init (когда он тут вообще рядом не лежит) в планировщике и в вфс, просто других частей ядра вы очевидно не знаете, а то бы написали и их.. но хуже всего то, что вы позволяете себе утверждать даже не удосужившись проверить.. вам просто кажеться и вам этого ДОСТАТОЧНО, стыдитесь, стыдитесь... а после возмите код адора (который в паблике уже черти сколько лет) и почитайте, функция реализующая сокрытие процеса по пиду занимает там аж целых 42 строки (включая коментарии и функционал дающий uid=0 любому юзеру вбившему спец. пароль)
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

Архив | Удалить	Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]