Конкурс "Системный Администратор 2012", Квест и тест. Обсуждаем, решаем. Опции

[zzTOP]

По-моему тут что-то не так - где # ?

Код

Welcome to Ideco Linux                                                          
IdecoLinux login: default                                                      
$ whoami                                                                        
default                                                                        
$ su                                                                            
$ whoami                                                                        
root                                                                            
$

[preloader]

По-моему тут что-то не так - где # ?

Код

Welcome to Ideco Linux                                                          
IdecoLinux login: default                                                      
$ whoami                                                                        
default                                                                        
$ su                                                                            
$ whoami                                                                        
root                                                                            
$

вывод env посмотри. Там переменная PS1 задана, для рута #, для дефолта $

[preloader]

ещё из необычного, файла /etc/resolv.conf нету. Есть символьная ссылка на /tmp/resolv.conf, который отсутсвует

[KOS]

Относительно 12 вопроса. Все что нужно было сделать чтоб получить ответ.
# cat /dev/clipboard | base64 -d >/tmp/qemu-arm-static && chmod 777 /tmp/qemu-arm-static && /tmp/qemu-arm-static /root/get_answer

а что в этот момент в клипборде должно быть?

[adm2010]

вопрос, даже если найти вирус, сказано название не явное, на основе собранной информации постарайтесь определить его имя. По какой классификации, какого антивируса или названия оглашенного автором писателем нужно будет дать ответ ?

знакомство с линухом поверхностное, но наткнулся на мануал для начинающих, как написать вирус, там изложено все последовательно:
1. проникнуть
2. назначить себе привелегии
3. поставить свои атрибуты на систему
4. подгрузить в систему свои файл, главный из которых файл очистки логов, в приведеном примере Vanish.c .

как итог полчаем скрытые процессы, которые не оставляют логов, поднятый порт на прослушку, который сверяет пакеты, а правильно составленный пакет является паролем к удаленному подключению, причем сам троян как правило закрывает все порты и оберегает, чтобы кто-то другой тоже еще не подключился.

Пишется такой троян по мануалу, многое зависит от выдумки и умения писателя, есть мысль по этому он ни 1 антивирусом классифицироваться не будет.

Пытаюсь понять, в каком варианте требуют ответа, по чьей классификации ждут ответа, странностей много, но если этот троян ни 1 антивирус не знает, значит и имени и описания у него как такого нет.

что даст поднятие привелегий в системе, найдется какой либо процесс, названный скажем хххххх , в котором будет сказано слушать порт такой та, проверять атрибуты на файловую систему, чистить логи по расширеням .log . думаю ответа это не принесет.

[zh1]

а что в этот момент в клипборде должно быть?

qemu-arm-static закодированный в base64 должен быть. нужно поправить js код, чтобы засунуть данные. тот код, который есть сейчас, берет clipboard из файла .../q10.dat с сайта и этот файл пустой. нужно сделать чтобы брало не с сайта, а из твоего места.

ответ от озвученного ранее не отличается, он правильный.

[zzTOP]

вопрос, даже если найти вирус, сказано название не явное, на основе собранной информации постарайтесь определить его имя. По какой классификации, какого антивируса или названия оглашенного автором писателем нужно будет дать ответ ?

знакомство с линухом поверхностное, но наткнулся на мануал для начинающих, как написать вирус, там изложено все последовательно:
1. проникнуть
2. назначить себе привелегии
3. поставить свои атрибуты на систему
4. подгрузить в систему свои файл, главный из которых файл очистки логов, в приведеном примере Vanish.c .

как итог полчаем скрытые процессы, которые не оставляют логов, поднятый порт на прослушку, который сверяет пакеты, а правильно составленный пакет является паролем к удаленному подключению, причем сам троян как правило закрывает все порты и оберегает, чтобы кто-то другой тоже еще не подключился.

Пишется такой троян по мануалу, многое зависит от выдумки и умения писателя, есть мысль по этому он ни 1 антивирусом классифицироваться не будет.

Пытаюсь понять, в каком варианте требуют ответа, по чьей классификации ждут ответа, странностей много, но если этот троян ни 1 антивирус не знает, значит и имени и описания у него как такого нет.

что даст поднятие привелегий в системе, найдется какой либо процесс, названный скажем хххххх , в котором будет сказано слушать порт такой та, проверять атрибуты на файловую систему, чистить логи по расширеням .log . думаю ответа это не принесет.

В системе только два сокета... и до тех не достучатся.
155 /bin/busybox socket:[268]
157 /bin/busybox socket:[271]

[mozes2012]

а что в этот момент в клипборде должно быть?

видимо qemu в uudecode

[zh1]

Пытаюсь понять, в каком варианте требуют ответа, по чьей классификации ждут ответа, странностей много, но если этот троян ни 1 антивирус не знает, значит и имени и описания у него как такого нет.

орги написали что ответом на 10-й вопрос является название трояна (не имя файла, это четко написано. по какой-то причине понятием "имя файла" оперировать нельзя). вероятно, "троян", не настоящий троян и если мы его таки найдем у нас не должно возникнуть вопросов с классификацией.

[alec14]

Ну вот, курсор был в поле ввода ответа, а не в консоли и я решил логинуться:(
И получилось что я ответил "root" на 10 вопрос. Попросил оргов откатить, но наверное не сделают. Так что квест я прошел:)

[zh1]

Ну вот, курсор был в поле ввода ответа, а не в консоли и я решил логинуться:(
И получилось что я ответил "root" на 10 вопрос. Попросил оргов откатить, но наверное не сделают. Так что квест я прошел:)

это засада. тоже чуть не отправил им неправильный ответ. после этого специально склонировал их виртуалку к себе, чтобы такой фигни не случилось. на локалхосте и мучаю. да и доступ к файлам с локалхоста будет побыстрее.

[preloader]

глянул открытые файлы lsof, там /dev/null ))

Может это троян Linux.Devnull ? )))

[preloader]

вбил в гугле trojan getanswer ))) есть и такой

[zzTOP]

по логике вопроса - троян должен быть по типу:

Троян.Свет.в. коридоре.включить

[preloader]

итак, штатными средствами выкусить зловреда не выходит. Может стоит загрузить туда chkrootkit, unhide? и дать поработать? Вроде как условия задани косвено разрешают подобную процедуру.

[CanabiuS]

Всем здрасти!
Всю тему с вами, но с трояном почему-то никто не озвучил, что в /dev/ присутствует аж 4 устройства video[0..3], с которыми у меня ничего сделать не получилось. В оригинальном эмуляторе данных устройств нет. Порывшись, нашёл на хабре статью про умный дом, там описывается четыре камеры также. Можно предположить, что троян блокирует камеры в умном доме, поэтому свет не включился автоматически.. о как!
Ещё были мысли, что в при вводе "ps" syslogd почему-то загружается в системе первым и со странными ключами -m 0, хотя первым должен быть -sh. При этом у syslog с справке нет ключа -m. Возможно трой подменяет syslog, а это свойственно для Adore. Но другие характерные признаки его присутствия я не нашёл.

Ну и ещё мысль, что под "трояном" подразумевается подгрузка файла "q10.dat", как обычно действует malware, которая смотрит команды в загружаемом с сервера файле команд и конфигураций. Но так действует множество червей, поэтому определить какой именно довольно сложно.

[zzTOP]

Всем здрасти!
Всю тему с вами, но с трояном почему-то никто не озвучил, что в /dev/ присутствует аж 4 устройства video[0..3], с которыми у меня ничего сделать не получилось. В оригинальном эмуляторе данных устройств нет. Порывшись, нашёл на хабре статью про умный дом, там описывается четыре камеры также. Можно предположить, что троян блокирует камеры в умном доме, поэтому свет не включился автоматически.. о как!
Ещё были мысли, что в при вводе "ps" syslogd почему-то загружается в системе первым и со странными ключами -m 0, хотя первым должен быть -sh. При этом у syslog с справке нет ключа -m. Возможно трой подменяет syslog, а это свойственно для Adore. Но другие характерные признаки его присутствия я не нашёл.

Ну и ещё мысль, что под "трояном" подразумевается подгрузка файла "q10.dat", как обычно действует malware, которая смотрит команды в загружаемом с сервера файле команд и конфигураций. Но так действует множество червей, поэтому определить какой именно довольно сложно.

Вроде уже озвучивали ответ от оргов - что сам троян найти не получиться - мол он постоянно скрывается.

[zh1]

Ну и ещё мысль, что под "трояном" подразумевается подгрузка файла "q10.dat", как обычно действует malware, которая смотрит команды в загружаемом с сервера файле команд и конфигураций. Но так действует множество червей, поэтому определить какой именно довольно сложно.

орги писали что ответом на 10-й вопрос является имя трояна, не имя файла. т.е. что бы мы не делали, нам нужно определить именно имя (название) трояна. и имя трояна никак с именем файла не связано (посмотрите срачик на главной, там на конкретный вопрос про имя файла был дан конкретный ответ что имя файла не нужно, а нужно название, ибо "троян постоянно прячется").

из этого я делаю вывод что нужно гуглить какие-то проявления этого трояна и узнать его название. самого трояна (кода), скорее всего нету (ну все уже перекопали, нашли бы, если бы что было), но вот то как он проявляется, вполне может быть съэмулировано.

[zh1]

Ещё были мысли, что в при вводе "ps" syslogd почему-то загружается в системе первым и со странными ключами -m 0, хотя первым должен быть -sh. При этом у syslog с справке нет ключа -m. Возможно трой подменяет syslog, а это свойственно для Adore. Но другие характерные признаки его присутствия я не нашёл.

все правильно. syslog стартует из init скриптов, sh стартует при логине (когда ты вводишь root).

syslog стартует раньше sh, у него меньше pid.

по поводу -m 0, в хелпе действительно нет описания.

[preloader]

все правильно. syslog стартует из init скриптов, sh стартует при логине (когда ты вводишь root).

syslog стартует раньше sh, у него меньше pid.

по поводу -m 0, в хелпе действительно нет описания.

да ну

-m interval
The syslogd logs a mark timestamp regularly. The default interval between two -- MARK -- lines is 20 minutes. This can be
changed with this option. Setting the interval to zero turns it off entirely.

но это man реального