How to become an author
Search
Write a publication
Pull to refresh

Comments 13

#irony
Точно, особенно на продакшн-сервере.
Rating is hidden
Я тоже подумал, что не хватает этого тега.
Спасибо, интересная статья. Теперь я буду хуже спать.
Rating is hidden
Ну зачем же так сурово. Можно на Fedora с targeted потестировать сначала. Вот этого явно не хватает в текущей статье — как оно реально применимо? Механизмы нападения совершенствуются, но и защиты — не отстают.

По иронии судьбы, Азазель маскируется под libselinux.
Rating is hidden
Судя по

By default, Azazel installs itself as libselinux.so into /lib. An entry is then added to /etc/ld.so.preload in order to hook system wide dynamically compiled programs.


нужны права рута для полноценной эксплуатации руткита?
Rating is hidden
Не совсем так. Можно, например, определенному пользователю установить в домашнюю директорию, и закинуть LD_PRELOAD в .bashrc.
Rating is hidden
Тогда вопрос с другой стороны: как маскируется мусор в домашнем каталоге и .bashrc (предположим что пользователь или антивирус в состоянии туда дотянуться)? Т. е. он может скрыть само по себе присутствие записи в bashrc?
Rating is hidden
Файлы можно маскировать, задав им определенный GID, например, а для записи в bashrc нужно немного кода дописать.
Rating is hidden
Я думаю тут больше подходит такой вариант что, подобрали к примеру рут пароль через ссш или поломали тот же плеск и после этого незаметно внедрили данный бекдор и юзают сервак как ноду ботнета. Учитывая что каналы на серверах на порядок лучше чем у юзеров, то ботнет из 100 таких машин вполне будет сопоставим с ботнетом из 10 000 юзеров.
Rating is hidden
Sign up to leave a comment.

Articles

Your account

Sections

Information

Services

Support
© 2006–2025, Habr