[linux] /lost+found
Robert Varga
niteshadow na hq.alert.sk
Pátek Září 22 16:08:24 CEST 2000
On Fri, Sep 22, 2000 at 01:43:38PM +0200, Matus fantomas Uhlar wrote:
> -> Pozri, ja hovorim len svoj nazor. Mimochodom, ked niekto nejaky
> -> ten system naozaj hackne (nemyslim teraz take trapnosti, ako
> -> zmenit web-stranku, ci zaznam v dns-serveri, ale hacknut po
> -> root-account), druha vec ktoru urobi je to, ze sa tam trosku
> -> "udomacni". Na to su najlepsie take nenapadne adresare (ako napr.
> -> /tmp, /usr/tmp, /lost+found...) a nenapadne subory s nic nehovoriacimi
> -> nazvami. V kazdom pripade ak je v /lost+found nejaky sobor, ktory
> -> ma v pravach "x", "S" pripadne "T", povazujem to za nanajvys
> -> podozrive.
>
> demagogia. Ja som parkrat videl naozaj jebnuty harddisk (mam jeden radic
> ktory neznesie ked pouzivam hdd aj fdd naraz) a jeden z klasickych prejavov
> dobreho padu je obrovsky bordel roznych suborov v lost+found ktore maju tie
> najpofidernejsie flagy s nemoznostou zmazat (z najrozlicnejsich dovodov)
lost+found sluzi na to, aby sa tam nalinkovali inody, ktore z nejakych
duovodov nalinkovane maju byt (link count), ale ziadny subor sa na ne
neodkazuje (v adresarovej strukture).
Takze ked mas error na disky v strukture inody, ktora nebola nikam
nalinkovana a obsahuje nejaky bordel (+S +t , etc) a pokazil sa link count,
tak ju fsck nalinkuje do lost+found. Ved co ak naozaj obsahuje nieco
duolezite ?
ak ti zacina failovat disk, tak toto je jeden z tych miernejsich ukazatelov.
> -> BTW, nie je vobec tazke vyrobit subor, ktory nezmaze ani root.
> -> Napriklad spravit ho imunny (immunize flag, neviem ako to lepsie
> -> prelozit).
jasne.. ale na to, aby bol immutable flag naozaj efektivny, treba zvysit
security level, pretoze inac by root (hack0r) mohol pekne spravit
# chattr -i <tvoj milovany subor> && rm -rf <tvoj milovany subor>
Upozornujem, ze security level bol zo sucasneho kernelu odstraneny (aspon
pokial si dobre pamatam).
> vacsina z prejavov ukazuje na pad disku uz len preto ze sa s tymi subormi
> neda nic realne urobit, okrem toho hackeri dokazu svoje veci skryt ovela
> lepsie ako umiestnenim rocnych suborov po disku hlavne ked sa admin zacne
> rychlo "pidit" zhanat po tom ako sa ich zbavit; a vacsina z nich dospeje k
> zaveru preinstalovat system
zaklad je pozerat, co fsck robi. Sem tam clovek pride na to, ze mu nieco
nefacha az-tak-OK.
> povedal by som to tak ze si to prespekuloval; existuje mnoho suborov ktore
> mozes stratit bez toho aby ti to _hned_ vadilo a aby si to hned zbadal ak si
> aj skuseny admin (neviem ako ty ale malokto ma cas preliezt si kazdy den
> disk a hladat zmeny z dosledne studovat co ich sposobilo)
>
> hlavne ked vacsina zo spomenutych suborov su blokove a znakove zariadenia...
find -t f /dev
je prva vec pri podozreni na hackera.
--
Kind regards,
Robert Varga
------------------------------------------------------------------------------
n na hq.sk http://hq.sk/~niteshadow/gpgkey.txt
------------- další část ---------------
Netextová příloha byla odstraněna...
Jméno: [žádný popis není k dispozici]
Typ: application/pgp-signature
Velikost: 232 bytes
Popis: [žádný popis není k dispozici]
Url : http://lists.linux.sk/pipermail/linux/attachments/20000922/7a1b9628/attachment.bin
Další informace o konferenci linux