[linux] /lost+found

Pátek Září 22 16:08:24 CEST 2000

On Fri, Sep 22, 2000 at 01:43:38PM +0200, Matus fantomas Uhlar wrote:
> -> Pozri, ja hovorim len svoj nazor. Mimochodom, ked niekto nejaky
> -> ten system naozaj hackne (nemyslim teraz take trapnosti, ako
> -> zmenit web-stranku, ci zaznam v dns-serveri, ale hacknut po
> -> root-account), druha vec ktoru urobi je to, ze sa tam trosku
> -> "udomacni". Na to su najlepsie take nenapadne adresare (ako napr.
> -> /tmp, /usr/tmp, /lost+found...) a nenapadne subory s nic nehovoriacimi
> -> nazvami. V kazdom pripade ak je v /lost+found nejaky sobor, ktory
> -> ma v pravach "x", "S" pripadne "T", povazujem to za nanajvys
> -> podozrive.
> 
> demagogia. Ja som parkrat videl naozaj jebnuty harddisk (mam jeden radic
> ktory neznesie ked pouzivam hdd aj fdd naraz) a jeden z klasickych prejavov
> dobreho padu je obrovsky bordel roznych suborov v lost+found ktore maju tie
> najpofidernejsie flagy s nemoznostou zmazat (z najrozlicnejsich dovodov)

lost+found sluzi na to, aby sa tam nalinkovali inody, ktore z nejakych
duovodov nalinkovane maju byt (link count), ale ziadny subor sa na ne
neodkazuje (v adresarovej strukture).

Takze ked mas error na disky v strukture inody, ktora nebola nikam
nalinkovana a obsahuje nejaky bordel (+S +t , etc) a pokazil sa link count,
tak ju fsck nalinkuje do lost+found. Ved co ak naozaj obsahuje nieco
duolezite ?

ak ti zacina failovat disk, tak toto je jeden z tych miernejsich ukazatelov.

> -> BTW, nie je vobec tazke vyrobit subor, ktory nezmaze ani root.
> -> Napriklad spravit ho imunny (immunize flag, neviem ako to lepsie
> -> prelozit).

jasne.. ale na to, aby bol immutable flag naozaj efektivny, treba zvysit
security level, pretoze inac by root (hack0r) mohol pekne spravit 

# chattr -i <tvoj milovany subor> && rm -rf <tvoj milovany subor>

Upozornujem, ze security level bol zo sucasneho kernelu odstraneny (aspon
pokial si dobre pamatam).

> vacsina z prejavov ukazuje na pad disku uz len preto ze sa s tymi subormi
> neda nic realne urobit, okrem toho hackeri dokazu svoje veci skryt ovela
> lepsie ako umiestnenim rocnych suborov po disku hlavne ked sa admin zacne
> rychlo "pidit" zhanat po tom ako sa ich zbavit; a vacsina z nich dospeje k
> zaveru preinstalovat system

zaklad je pozerat, co fsck robi. Sem tam clovek pride na to, ze mu nieco
nefacha az-tak-OK.

> povedal by som to tak ze si to prespekuloval; existuje mnoho suborov ktore
> mozes stratit bez toho aby ti to _hned_ vadilo a aby si to hned zbadal ak si
> aj skuseny admin (neviem ako ty ale malokto ma cas preliezt si kazdy den
> disk a hladat zmeny z dosledne studovat co ich sposobilo)
> 
> hlavne ked vacsina zo spomenutych suborov su blokove a znakove zariadenia...

find -t f /dev

je prva vec pri podozreni na hackera.

-- 
Kind regards,
Robert Varga
------------------------------------------------------------------------------
n na hq.sk                                    http://hq.sk/~niteshadow/gpgkey.txt

------------- další část ---------------
Netextová příloha byla odstraněna...
Jméno: [žádný popis není k dispozici]
Typ: application/pgp-signature
Velikost: 232 bytes
Popis: [žádný popis není k dispozici]
Url : http://lists.linux.sk/pipermail/linux/attachments/20000922/7a1b9628/attachment.bin 