[linux] /lost+found

Matus "fantomas" Uhlar uhlar na fantomas.sk
Pátek Září 22 13:43:38 CEST 2000


-> > netvrdim ze ten system nebol hacknuty. Nevidim dovod preco by hacknuty
-> > system nemohol hardwarovo spadnut. V kazdom pripade spominany bordel a
-> > subory ktore sa nedaju ani zmazat len takym hackom nevytvorite (okrem
-> > ineho by to nemalo zmysel)
-> 
-> Pozri, ja hovorim len svoj nazor. Mimochodom, ked niekto nejaky
-> ten system naozaj hackne (nemyslim teraz take trapnosti, ako
-> zmenit web-stranku, ci zaznam v dns-serveri, ale hacknut po
-> root-account), druha vec ktoru urobi je to, ze sa tam trosku
-> "udomacni". Na to su najlepsie take nenapadne adresare (ako napr.
-> /tmp, /usr/tmp, /lost+found...) a nenapadne subory s nic nehovoriacimi
-> nazvami. V kazdom pripade ak je v /lost+found nejaky sobor, ktory
-> ma v pravach "x", "S" pripadne "T", povazujem to za nanajvys
-> podozrive.

demagogia. Ja som parkrat videl naozaj jebnuty harddisk (mam jeden radic
ktory neznesie ked pouzivam hdd aj fdd naraz) a jeden z klasickych prejavov
dobreho padu je obrovsky bordel roznych suborov v lost+found ktore maju tie
najpofidernejsie flagy s nemoznostou zmazat (z najrozlicnejsich dovodov)

-> Dotycny pisal, ze takych suborov ma viac a v roznych adresaroch.
-> Nic vsak nepisal o tom, ze by mu server nejako zahadne padal,
-> alebo mrzol. To by sa iste stalo, ak by mal posahanych niekolko
-> dolezitejsich binarok (prinajmenej v logoch by si to vsimol), najma
-> ak ma takych suborov niekolko desiatok. To by uz ten disk musel
-> byt riadne poskodeny, a comp by mu v podstate nesiel. Ovela viac
-> by ho trapilo to padanie a mrznutie, ktore sa u linuxu casto nevidi.
-> 
-> BTW, nie je vobec tazke vyrobit subor, ktory nezmaze ani root.
-> Napriklad spravit ho imunny (immunize flag, neviem ako to lepsie
-> prelozit).

vacsina z prejavov ukazuje na pad disku uz len preto ze sa s tymi subormi
neda nic realne urobit, okrem toho hackeri dokazu svoje veci skryt ovela
lepsie ako umiestnenim rocnych suborov po disku hlavne ked sa admin zacne
rychlo "pidit" zhanat po tom ako sa ich zbavit; a vacsina z nich dospeje k
zaveru preinstalovat system

povedal by som to tak ze si to prespekuloval; existuje mnoho suborov ktore
mozes stratit bez toho aby ti to _hned_ vadilo a aby si to hned zbadal ak si
aj skuseny admin (neviem ako ty ale malokto ma cas preliezt si kazdy den
disk a hladat zmeny z dosledne studovat co ich sposobilo)

hlavne ked vacsina zo spomenutych suborov su blokove a znakove zariadenia...

-- 
 Matus "fantomas" Uhlar, sysadmin at NEXTRA, Slovakia; IRCNET admin of *.sk
 uhlar na fantomas.sk ; http://www.fantomas.sk/ ; http://www.nextra.sk/
 I feel like I'm diagonally parked in a parallel universe. 



Další informace o konferenci linux