(или грязный хак)

Выводить ps только через grep

Всмысле?

http://stackoverflow.com/a/6047094/956050

если я понял суть правильно, фильтровать вывод этой команды

Там надо патчить код, а исходников софтины у меня нет и их не дадут.

Это про ps и grep

патчить ps, top, htop и т.д.

Я так понимаю что патчить надо procfs :)
Вопрос в том, как.

Сделай ядерный модуль

Я думаю написать софтину с ноля будет проще :)

И это правильно. Костыли не нужны. :)

Модуль ядерный тоже не сложно написать, на самом деле, но это изначально не верный путь.

К сожалению софт для кардшаринга пишут мудаки :)

grsec

delete83

man alias

/bin/grep и где ваши алиасы?

winddos

Там надо патчить код, а исходников софтины у меня нет и их не дадут.

наверняка там есть статический массив хотя-бы байт на 50. вставьте туда двоичный код данного вам хака - он должен отработать только 1 раз в самом начале программы. А массив обычно всё равно инициализируется заново (хотя надо проверить конечно). Это во первых проще правки ядра, во вторых сработает на любых машинах, с любым ядром.

Во-первых, /usr/bin/grep.
Во-вторых, вы всегда запускаете системные команды, указывая полный путь? Если нет, то как вы собираетесь узнать, что на команду ps повешен альяс?

«Команда» с 1 «м» пишется, балин.
Вирус придумал?
Про алиасы просвятись.

Алиасы и греп не подходит, ибо все равно палится сам процесс.

Ну я просто предполагал, что есть какой то уже готовый хак для этой цели.
Но вот найти не смог, может плохо искал.

«Команда» с 1 «м» пишется, балин.

Меня адово прет на очень и очень глупые ошибки, не могу определить почему так.
Видимо воздействие постоянного общения не на русском.

Вирус придумал?

Хуже, кардшаринг придумал.
Исходники бекдоров обычно в свободном доступе есть.

Про алиасы просвятись.

А они как то помогут спрятать ценную информацию который кто угодно может прочесть в /proc?

методы с патченьем ps итд бесполезны:

cat /proc/[1-9]*/comm

А они как то помогут спрятать ценную информацию который кто угодно может прочесть в /proc?

Тогда ХЗ, не интересовался подобными подлыми деяниями :)

я чето не понял. или все сразу о сложном думают. подходите с другой стороны)

заверни в отдельный скрипт cmd line твоей команды. то есть

/bin/your_prog -h example.com -c 1 -p Eweqr2
echo '/bin/your_prog -h example.com -c 1 -p Eweqr2' > /bin/myhack
bash /bin/myhack

вроде в proc не нашел...

вроде в proc не нашел...

У тебя какая то особая магия, видимо :)

delete83

Во-первых, /usr/bin/grep.

в Slackware там ссылка на /bin/grep

delete83

Во-вторых, вы всегда запускаете системные команды, указывая полный путь? Если нет, то как вы собираетесь узнать, что на команду ps повешен альяс?

вы тут сами пытались изобразить команду. Не получилось - man alias не работает, за то работает man bash и help alias. Жаль, что вы не умеете читать. Для вас - попробуйте alias без параметров. Вам понравится. (хотя научится читать ещё круче).

в последних - всегда предполагается, что злоумышленник разбирается в системе по меньшей мере не хуже нас. И уж такой мякиной как алиасы его не проведёшь. Учите матчасть.

лолчто?

$ ls -l /bin/grep /usr/bin/grep
ls: cannot access /usr/bin/grep: Нет такого файла или каталога
-rwxr-xr-x 1 root root 134392 янв.  28 21:15 /bin/grep

Да там конечно нет расчета на злоумышленника.
Но это хостинговые серваки, и много кто может посмотреть список процессов.

grsec

Плюсую это незамеченное сообщение. В grsecurity патче есть всё, что нужно ТС.

Но это хостинговые серваки, и много кто может посмотреть список процессов.

Насколько хостинговые? Своё ядро можно патченное залить и использовать?
Против админов хостера защиты не выйдет. По крайней мере дешёвой.

если есть возможность наложить патч на ядро, то есть такой патч, который скрывает все процессы для конкретного пользователя и он видит только список своих процессов и не более того. Естественно рут видит все.

anonymous

это базовая утилита, и она должна быть доступна до подмонтирования /usr. но малыши про такую возможность не слышали, да?

у них поттеринг головного мозга.

Это мои серваки, но на которых размещены не только мои сайты, но и сайты некоторых знакомых людей. :)

winddos

Да там конечно нет расчета на злоумышленника.
Но это хостинговые серваки, и много кто может посмотреть список процессов.

если нет злоумышленников, и вы уверены в этом - зачем скрывать?

Имена/ссылки/явки?

И не помешает ли это работе какого то софта?

Плюсую это незамеченное сообщение.

Спасибо большое, этот вариант я наверное и буду использовать.
grsec у меня ранее работал в системе, но о такой его функциональности я даже не интересовался.

Да я понимаю, что ни в чем нельзя быть уверенным на 100% :)

http://git.kernel.org/?p=linux/kernel/git/torvalds/linux.git;a=commitdiff;h=0...

Этот?

самопальная софтина

сразу после копирования argv:
strncpy(argv[0], «Что угодно», strlen(argv[0]));
очевидно жеж.
и да:
http://git.kernel.org/?p=linux/kernel/git/torvalds/linux.git;a=commitdiff;h=0...

а вот возможная реализация:
cat hide-arg.c
#include <stdio.h>
#include <stdlib.h>
#include <unistd.h>
#include <string.h>
/* http://netsplit.com/2007/01/10/hiding-arguments-from-ps/ */

int main(int argc, char **argv)
{
int c;
for (c=0; c<argc; c++)
{
printf(«ARG #%d, STR %s\r\n», c, argv[c]);
}
if (argc > 1) {
char *arg_end;

arg_end = argv[argc-1] + strlen (argv[argc-1]);
*arg_end = ' ';
}
for (c=0; c<argc; c++)
{
printf(«ARG #%d, STR %s\r\n», c, argv[c]);
}
}
$ ./hide-arg 1 456
ARG #0, STR ./hide-arg
ARG #1, STR 1
ARG #2, STR 456
ARG #0, STR ./hide-arg
ARG #1, STR 1
ARG #2, STR 456 ORBIT_SOCKETDIR=/tmp/orbit-byg

Исходников традиционно нет.

чукча не читатель?

Спасибо большое, я лучше помучаюсь и накачу grsec.

Все таки это патч на свежее ядро, а у меня на хостинговых серверах centos 5 и ubuntu 10.04.

хм... а разве в Linux не-root может видеть список чужих процессов?

А разве в Linux есть пользователи которые этого не знают?

почему никто не вспомнил про то, что можно завернуть софтину в виртуальную машину?

чтобы параметры не мог увидеть вообще никто кроме может быть рута и владельца процесса.

Ну тогда задача уже решена.

gcc -o

чукча не читатель?

штоа? я ничо не говорил про исходники

лучше помучаюсь

дело твоё. просто если самонаписано - то лучше ещё и argv сбрасывать -для надёжности!

самое главное, что ты не читал ОП-пост
поэтому говноед, и твои посты не несут смысловой нагрузки

ваганыч, залогиньтесь!