domnu' halfdead backdoorurile pot fi asha de variate incat parerea mea este ca de localhost nu potzi vedea daca ai fost hacked(vorbim in extrema 31337 hacker:)). ce nmap ce find ce lsof ce netstat :) contra nmap exista backdooruri deja antice care itzi binduie shell de root pe un port daca trimiti un packet cu un anumit continut. contra lsof/netstat etc write always cu check pe exec. find nu mai zic :) la chestia contra date se poate modifica la nivel fizic pe disk data crearii fisierului. Nu am program care face asta, dar ca tot imi ziceai ieri de coderi potzi sa te apuci sa mofici data crearii fisierului la nivel fizic sau sa fii istetz sa scrii pe clusteri 010101101 :) care sa fie backdoorul peste progul original :) in rest tunneling si ce mai vrei tu e simplu. daca use gdb cu ptrace_traceme shtii shi tu ca potzi afisha offsetul original syscall-ului si in rest nu mai zic ca deja e prea advanced. parerea mea este ca se poate sa fii 100% hidden :) asha ca razi hdd, pleci fara conturi de shell decat al rootului, fara servicii/daemons etc... si apoi te apuci incet sa NU dai drumul la nimic decat daca esti 100% sigur si access-list-uri grupa mare, ochii pe loage, hogwashuri, snorturi etc. pretty secure? :)
Gushterul On Thu, 27 Dec 2001, Andrei Bozeanu wrote: > > > On 25 Dec 2001, Florin Andrei wrote: > > > > > On Mon, 2001-12-24 at 01:01, Paul POP wrote: > > > > > > Este un Slak 8 pe mashina mea si sper ca nu shia bagat draku coada pe > > > la mine.Stiti vreun mod da a gasi vreun rookit pe mashina, daca am noroc > > > sa-l gasesc? > > > > Parerea mea este ca nu exista nici o metoda 100% sigura. > (sunt mai multe) > > > > > Nu pot sa-mi permit sa scot mashina nici o secunda din uz ca > > > am un portal pe ea. > > > > Nasol. Pentru ca: > > - singura solutie de a scoate petele de cabernet de pe covor este bazata > > pe foarfeca > > - singura solutie de a scoate 100% sigur hax0rii dintr-un sistem > > compromis este bazata pe format + reinstall > > > > -- > > Florin Andrei > > > > "We believe that it should be the market which decides which browser > > to use, rather than Microsoft." - Michael Tiemann, Red Hat CTO > > Domnule Florin, pentru cabernet exista ARIEL care curatza shi > improspateaza... si solutia pe care o datzi dumneavoastra pentru a scapa > de "haxori" este total lame. incepand de la chkrootkit( pe care il shtie > toata lumea) shi pana la alte scule deshtepte (pe care poti sa le scrii > singur) exista mii de solutii. netstat,lsof,nmap arata ce porturi sunt > deschise... de asemenea, cu lsof vedem ce fisiere sunt deschise... ;) sau > putem sa dam find / -ctime 0 -print (in loc de 0 , data estimativa a > penetrarii) ca sa vedem ce fishiere au fost modificate... putem sa scanam > tabela de syscalluri prin tunneling dupa redirectari de syscalluri... bla > bla bla... deci... va rog frumos, nu va mai faceti de ras pe liste de > discutii publice... ma dezamagiti! un an nou fericit... ;) > > Andrei Bozeanu > Network and Security Administrator - B&A Trading ISP > [EMAIL PROTECTED] > > > --- > Send e-mail to '[EMAIL PROTECTED]' with 'unsubscribe rlug' to > unsubscribe from this list. > --- Send e-mail to '[EMAIL PROTECTED]' with 'unsubscribe rlug' to unsubscribe from this list.
