[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[stalk:00509] Re: バックドアの隠し場所
- To: <security-talk@xxxxxxxxxxxxxxxxxxxx>
- Subject: [stalk:00509] Re: バックドアの隠し場所
- From: Shikap <shikap@xxxxxxxxxxxx>
- Date: Fri, 22 Jun 2001 12:51:32 +0900
しかPです。
on 01.6.22 11:58 AM, micky@xxxxxxxxx at micky@xxxxxxxxx wrote:
> [stalk:00505] バックドアの隠し場所
>> そこで、皆さんにお聞きしたいのですが、「悪意のあるプログラムを隠す
>> とすれば、どこ or どのように隠しますか?」
>
> UNIX系だと、ファイルシステム内のいろんなトコロに隠します
> よね。
>
> ボクが直接見たのは、
> /tmp
> /usr/doc
> /var/tmp
まずUNIX系から。
見た訳じゃないですが、
/var/lib
あたりに.付きファイルで隠す、ってのもありますね。
あとは隠すのだからroot権限もっている、と考えると、
/usr/bin
/usr/sbin
/usr/etc
/usr/lib
/lib
あたりでもいいですね。
/dev
あたりにいかにもデバイス、って名前のファイルを作ると以外に
引っかかってくれたりして。
さらにユーザディレクトリの‾/binに.ファイル、ってのが
盲点としていいかも、なんて思いますが。
/root/binが存在して、いっぱいシェルスクリプトがおいてあると
おもしろいかもしれない。
一番やりそうなのは、find自体をバックドア付きでコンパイル、
かなぁ。(--backなんてオプションをつけておいて、
ふつーにfindしたときは、自分自身の結果を偽って出力、なーんて。
lsとかでもいいんですけど。)
そうすれば、Tripwireなどを仕掛けられていなければ、みつから
ないですよね。
#だからそう言ったコマンド類はクリーンインストールしたときに
#他のメディアにコピーしておく必要もあるんでしょうね。
#・・・Tripwireの実行バイナリ自身ってのはどうだ(笑)
また、Tripwireを仕掛けたマシンだったら、
/var/log(/var/adm)
なんてところもありかもしれない。
#ファイルの変更が多い->Tripwireで検査してない可能性あり。
例えば、/var/log/message.?(?はloglotateの回数+1にする)
と意外に見つけにくいんじゃない?(Linuxの場合)
・・・・そうすると/var/mailもいかしているかも?
NTだとどこがいいんだろう?(詳しくないのでわからない^^; )
あぁ、./cgi-bin(だっけ?)ってのもありかなぁ。
もちろん、隠し属性はいるんですけどね。
Mac(9)は・・・・どこでもいいんじゃない?(笑)
名称未設定フォルダの中ってのが一番の盲点かも。
まぁ、こういうのって知恵比べですよね。自分(システム管理者)が
チェックをおろそかにしやすい場所が自分(攻撃者)にとって最も
都合のいい隠し場所になるんじゃないかと。
また、ユーザがファイルをしこたま作りそうな場所、と言うのも
Tripwireにのりにくい場所なので、割とよさそうかな、と。
ということで、自分自身と知恵比べをしてみました。
#って、自分がおろそかになっている場所を暴露してしまっている
#様な気がするのは・・・内緒にして下さい。(--;;;
--
============================
鹿田 幸治 Koji.Shikata
E-Mail:shikap@xxxxxxxxxxxx
snortパッチ公開中:http://www.yk.rim.or.jp/‾shikap/patch/
============================
--
- このメイリングリストに関する質問・問い合せ等は
- <security-talk@xxxxxxxxxx>までお知らせください
--
------------------------------------------------------------------------
インフォシーク株価に新機能登場!!【銘柄条件検索】ってなにもの??
http://stock.infoseek.co.jp/Stock?pg=stock_top.html&sv=ST&svx=971122