Методы обнаружения руткитов в GNU/Linux

Идеальный руткит обнаружить нельзя. Кроме того, можно ведь сделать, чтобы при запуске искалки руткитов выполнялась патченная версия искалки. :)

еще можно зайти на ЛОР и попросить отдать пароль на рута :)

Зашифрованный подойдет?

$ sudo grep ^root: /etc/shadow
root:$2a$05$nlwyrIuqxeKEyGhV7LmlhufeJbfeZ8MgQKlV.krAJvq996/lfqm7K:13490::::::
$

можно искать скрытые процессы и сетевые порты методом бинда без chkrootkit и rkhunter

http://rst.void.ru/download/r57-pid-check.txt
http://rst.void.ru/download/portcheck.txt

> Зашифрованный подойдет?
>
> $ sudo grep ^root: /etc/shadow
> root:$2a$05$nlwyrIuqxeKEyGhV7LmlhufeJbfeZ8MgQKlV.krAJvq996/lfqm7K:13490::::::
> $

Неужели "god"? ;)

root:$1$CaUpdpt3$QppBfHZXat0rwwakr7uiu0:13508:0:99999:7:::

>root:$1$CaUpdpt3$QppBfHZXat0rwwakr7uiu0:13508:0:99999:7:::

мля господа офицеры -я имел ввиду отдать чайнику его же отхаченный рут :)

Обе утилиты почти мертвы.

а что насчет руткитов в ядре?

дарю:

sudo grep '^root' /etc/shadow 23:42 pts/0
root:*:13178:0:99999:7:::

продам рутовый пароль от убунты, дырку от бублика и мертвого осла уши. дорого. спросить Штирлица

Ядро - это и есть идеальный руткит.. Так то.. :-)

>а что насчет руткитов в ядре?

хм... а что, бывают руткиты не в ядре? а где ж им ещё быть? ;)

Толи руткитов под Linux так мало, толи chkrootkit так быстро ищет :)

>хм... а что, бывают руткиты не в ядре? а где ж им ещё быть? ;)

Например в программах. Допустим ls который не кажет каталог /matrix_has_you ну и до кучи ps скрывающий процесс matrix_has_you

>Неужели "god"? ;)

У меня пароль из 16 больших и маленьких латинских букв и цифр.

>Обе утилиты почти мертвы

то есть?

>У меня пароль из 16 больших и маленьких латинских букв и цифр.

Параноик?

>Параноик?

Подобрать и подсмотреть намного сложнее.

>Подобрать и подсмотреть намного сложнее.

А у тебя случайно нету дома в сейфе пару кг полония?

>>У меня пароль из 16 больших и маленьких латинских букв и цифр.

>Параноик?

Анонимус!

>У меня пароль из 16 больших и маленьких латинских букв и цифр.

112 бит ? Ну-ну ;)

Знаю чувака, который в качестве рут-пароля пишет четверостишье на русском в латинской раскладке. Грит, чтобы не искушаться сидением под рутом без крайней на то надобности. Ну и sudo типа рулит.

>Знаю чувака, который в качестве рут-пароля пишет четверостишье на русском в латинской раскладке. Грит, чтобы не искушаться сидением под рутом без крайней на то надобности. Ну и sudo типа рулит.

Если судо рулит то пароль на рута нах?

>Если судо рулит то пароль на рута нах?

чтобы хацкер который будет потом пароль брутфорсить не ебнулся мозгом ,когда после недели подбора пароля вдруг окажется что пароль был нулевой длины.

> У меня пароль из 16 больших и маленьких латинских букв и цифр.

Прикинь как станет обидно, если коллизия будет именно god :)

> Знаю чувака, который в качестве рут-пароля пишет четверостишье на русском в латинской раскладке. Грит, чтобы не искушаться сидением под рутом без крайней на то надобности.

А при надобности лишний раз предаться поэзии :)

> root:$2a$05$nlwyrIuqxeKEyGhV7LmlhufeJbfeZ8MgQKlV.krAJvq996/lfqm7K:13490:::::: Это что? blowfish? > root:$1$CaUpdpt3$QppBfHZXat0rwwakr7uiu0:13508:0:99999:7::: а это? или один и тот-же метод?

+5

:-)

> Знаю чувака, который в качестве рут-пароля пишет четверостишье на
> русском в латинской раскладке.

"
сорок тысяч обезьян
в ж**у сунули банан
"

кажется это "сердца и моторы"

>мля господа офицеры -я имел ввиду отдать чайнику его же отхаченный рут :)

Диалог в чате
L - О! Прикинь! Класный нюк нашел! Дай какойнибудь IP, я его сейчас положу!
R - 127.0.0.1

.... L пропадает из чата.

ЗЫ. Хотя и старо.

>Прикинь как станет обидно, если коллизия будет именно god :)

Не. Там сложнее qwerty или 123456

мля! ну зачем же так, а? теперь новый стишок придумывать %(

а зачем стишок ? я давно использую в качестве пароля какое нибудь нецензурное ругательство на русском языке набранное в латинской раскладке :)
оно и длинное и легко запоминающееся
и даже если подбирать будет хацкер который знает про это - орфография нецензурных выражений у каждого своя, потому и прямой перебор по словарю ну навряд ли ему поможет :)

в качестве побочного эффекта - "выболтать" такой пароль весьма проблематично, не говоря о том чтобы записать на бумажке или отправить по почте %) по крайней мере я столько выпить не в состоянии

> сорок тысяч обезьян в ж**у сунули банан

Лукьяненко, "Фальшивые зеркала".

> ... ps скрывающий процесс matrix_has_you

Инстальте альтернативы - pstree помогает! ;)

ну и боянищще, вот уже давно ими пользуюсь и хантером и чекруткитом, хоть какая то профилактика

>У меня пароль из 16 больших и маленьких латинских букв и цифр. В середину воткнуть символ типа '&' или '%'. Тогда брутфорсить будет намного сложнее (обычно такие пароли рассматривают в последнюю очередь)

Имя бога памяти и дикции???

У меня пароль из трех буков Первая буква Х.Пока еще никто не подобрал

А я придумал руткит, который невозможно обнаружить ни одним из способов, которые используют руткитхантеры, при чем при перехвате системных вызовов ни таблица системных вызовов, ни вектор int 80h, ни сами функции-обработчики системных вызовов не изменяются :pPpPppPpppPpppPppPpPPpPppPPPppPppP

qemu?