Конкурс "Системный Администратор 2012", Квест и тест. Обсуждаем, решаем. Опции

[nowlar]

а ничего что содержимое /etc/passwd отличается по составу от /etc/shadow ?

[CanabiuS]

все правильно. syslog стартует из init скриптов, sh стартует при логине (когда ты вводишь root).

syslog стартует раньше sh, у него меньше pid.

по поводу -m 0, в хелпе действительно нет описания.

В оригинальном эмуляторе sh стартует первым. Во всех троянотуториалах написано, что первым делом надо подменять логи, чтобы троян не запалить. Лично для меня это как-то сторанно, чтобы syslog грузился первее паравоза. Кстати, busybox у авторов свежей чем у оригинального эмулятора...

Почему про камеры никто ничего не озвучивает?

PS: попробуйте ввести "mount -no remount,rw /". Эмулятору помогает только F5

[zh1]

В оригинальном эмуляторе sh стартует первым. Во всех троянотуториалах написано, что первым делом надо подменять логи, чтобы троян не запалить. Лично для меня это как-то сторанно, чтобы syslog грузился первее паравоза. Кстати, busybox у авторов свежей чем у оригинального эмулятора...

ну как написано в /etc/inittab, так и грузится.
/etc у оргов, кстати, более полный чем в оригинальном эмуляторе.
по поводу video, устройства на файловой системе созданы еще до старта ядра (это можно видить если слить образ). может быть это имеет значение, может быть не имеет (просто в скриптах сборки busybox'а было создание video). но ядро собрано Фабрисом, врядли туда какие-то кастомные модули добавлялись.

ответ где-то ближе.

[preloader]

Вот список, который дрючит chkrootkit. Попробуем угадать? Предагаю вариант 29 )

01. lrk3, lrk4, lrk5, lrk6 (и варианты);
02. Solaris rootkit;
03. FreeBSD rootkit;
04. t0rn (и варианты);
05. Ambient's Rootkit (ARK);
06. Ramen Worm;
07. rh[[ -shaper;]]
08. RSHA;
09. Romanian rootkit;
10. RK17;
11. Lion Worm;
12. Adore Worm;
13. LPD Worm;
14. kenny-rk;
15. Adore LKM;
16. ShitC Worm;
17. Omega Worm;
18. Wormkit Worm;
19. Maniac-RK;
20. dsc-rootkit;
21. Ducoci rootkit;
22. x.c Worm;
23. RST.b trojan;
24. duarawkz;
25. knark LKM;
26. Monkit;
27. Hidrootkit;
28. Bobkit;
29. Pizdakit;
30. t0rn v8.0;
31. Showtee;
32. Optickit;
33. T.R.K;
34. MithRa's Rootkit;
35. George;
36. SucKIT;
37. Scalper;
38. Slapper A, B, C and D;
39. OpenBSD rk v1;
40. Illogic rootkit;
41. SK rootkit.
42. sebek LKM;
43. Romanian rootkit;
44. LOC rootkit;
45. shv4 rootkit;
46. Aquatica rootkit;
47. ZK rootkit;
48. 55808.A Worm;
49. TC2 Worm;
50. Volc rootkit;
51. Gold2 rootkit;
52. Anonoying rootkit;
53. Shkit rootkit;
54. AjaKit rootkit;
55. zaRwT rootkit;
56. Madalin rootkit;

[Ernazar]

Но есть проблема: похоже, операционная система, доступ в которую предоставляет терминал, заражена "трояном".

Т.е. получается не эта же система заражена, а другая, судя по /etc/hosts это 127.0.1.1, но у него такой же хостнэйм как и у локалхоста..

[zh1]

Т.е. получается не эта же система заражена, а другая, судя по /etc/hosts это 127.0.1.1, но у него такой же хостнэйм как и у локалхоста..

127.0.0.0/8 -- это все localhost

[Disaster]

Т.е. получается не эта же система заражена, а другая, судя по /etc/hosts это 127.0.1.1, но у него такой же хостнэйм как и у локалхоста..

Это одна и та же машина...

[Decker]

Господа, а поправьте меня если я ошибаюсь, ну или подскажите. /tmp/log имеет аттрибуты srw-rw-rw- ... Что обозначает s? И /tmp/log - это Unix domain socket (Доменный сокет Unix) или IPC-сокет? Или я не прав? Просто никогда с Unix Socket'ами не сталкивался ... а может туда периодически пишется что-то типа %virusname% помимо всего? Можно ли как-то выводить в консоль все что туда пишется? Или я в неверном направлении копаю?

[1Pawel]

Господа, а поправьте меня если я ошибаюсь, ну или подскажите. /tmp/log имеет аттрибуты srw-rw-rw- ... Что обозначает s? И /tmp/log - это Unix domain socket (Доменный сокет Unix) или IPC-сокет? Или я не прав? Просто никогда с Unix Socket'ами не сталкивался ... а может туда периодически пишется что-то типа %virusname% помимо всего? Можно ли как-то выводить в консоль все что туда пишется? Или я в неверном направлении копаю?

Я в линуксах не разбираюсь, но по-моему это тип файла:
s = — доменное гнездо (socket);

А вообще еще такие бывают:
- = — обычный файл;
d = — каталог;
b = — файл блочного устройства;
c = — файл символьного устройства;
p = — именованный канал (pipe);
l = — символическая ссылка (link).

[zzTOP]

а как достучаться до 271 ?

Код

Proto RefCnt Flags       Type       State         I-Node Path                  
unix  3      [ ]         DGRAM                       268 /dev/../tmp/log        
unix  2      [ ]         DGRAM                       271

[KOS]

Так на 12 вопрос правильный ответ циферки, или "Время пришло"?

[1Pawel]

Так на 12 вопрос правильный ответ циферки, или "Время пришло"?

Время пришло, однозначно!

[Decker]

а как достучаться до 271 ?

Код

Proto RefCnt Flags       Type       State         I-Node Path                  
unix  3      [ ]         DGRAM                       268 /dev/../tmp/log        
unix  2      [ ]         DGRAM                       271

I-Node — не представляет интереса. Здесь отображается номер дескриптора I-Node, соответствующий соединению. Однако этот I-Node существует в каталоге /ргос только в случае, если соединение используется, таким образом, поиск данного I-Node не приведет к желаемым результатам.

Ни в /proc, ни в /proc/net 271 идентификатора я не нашел ...

От:

Код

# cat /proc/net/unix                                                            
Num       RefCount Protocol Flags    Type St Inode Path                        
c1243de0: 00000003 00000000 00000000 0002 01   268 /dev/../tmp/log              
c1243c60: 00000002 00000000 00000000 0002 01   271

Вообщем-то тоже пользы мало.

[NEsTor]

Господа, а поправьте меня если я ошибаюсь, ну или подскажите. /tmp/log имеет аттрибуты srw-rw-rw- ... Что обозначает s? И /tmp/log - это Unix domain socket (Доменный сокет Unix) или IPC-сокет?

unix domain

а может туда периодически пишется что-то типа %virusname% помимо всего? Можно ли как-то выводить в консоль все что туда пишется? Или я в неверном направлении копаю?

tail -f /tmp/log

[Disaster]

tail -f /tmp/log

Не пашет tail: can't open '/tmp/log': No such device or address
А вот файл мессаджес открывает без проблем, вот только там ничего сильно интересного нету

[preloader]

ls -la /proc/self постоянно меняется ссылка на /proc/249 например /proc/250 и т.д.

[preloader]

ls -la /proc/self постоянно меняется ссылка на /proc/249 например /proc/250 и т.д.

хотя опять наврал, это нормальное поведение

[zzTOP]

Несколько дней копания - подсказывает что данной вопрос не имеет решения - либо что-то не досказали в вопросе. В прочем в 2011 году были задания не имеющие верного решения. Возможно это одно из таких - учитывая что все остальные имели явные ответы.

Впрочем более менее похожее на ответ выдает nano. В начале своего запуска B07h1h1h1h

[preloader]

Несколько дней копания - подсказывает что данной вопрос не имеет решения - либо что-то не досказали в вопросе. В прочем в 2011 году были задания не имеющие верного решения. Возможно это одно из таких - учитывая что все остальные имели явные ответы.

Впрочем более менее похожее на ответ выдает nano. В начале своего запуска B07h1h1h1h

там ещё при выходе 11 пишется

[zzTOP]

но похоже это цветовые коды для консоли

Код

brk(0x8064000)                          = 0x8064000
brk(0x8065000)                          = 0x8065000
write(1, "\33(B\33)0\33[1;30r\33[m\17\33[?7h\33[?1h\33=", 29) = 29
brk(0x8066000)                          = 0x8066000
write(1, "\33[?1h\33=", 7)              = 7
write(1, "\33[?1h\33=", 7)              = 7