Конкурс "Системный Администратор 2012", Квест и тест. Обсуждаем, решаем. Опции

[Nuclears]

И всетаки все сводится к одному, троянец есть

unix 2 [ ] DGRAM 271

157 /bin/busybox socket:[271]

c123bc60: 00000002 00000000 00000000 0002 01 271

ЗЫЖ в 12 вопросе, этого всего уже нету

идеи?

[preloader]

может LKM Trojan?

[zzTOP]

Это klogd открыл для отсылки данных к syslogd, по-умолчанию он в него передает все сообщения полученные от ядрышка.

Код

/proc/157/fd:                                                                  
total 0                                                                        
lrwx------    1 root     root            64 Aug 13 05:25 0 -> /dev/null        
lrwx------    1 root     root            64 Aug 13 05:25 1 -> /dev/null        
lrwx------    1 root     root            64 Aug 13 05:25 2 -> /dev/null        
lrwx------    1 root     root            64 Aug 13 05:25 3 -> socket:[271]

[preloader]

Это klogd открыл для отсылки данных к syslogd, по-умолчанию он в него передает все сообщения полученные от ядрышка.

Код

/proc/157/fd:                                                                  
total 0                                                                        
lrwx------    1 root     root            64 Aug 13 05:25 0 -> /dev/null        
lrwx------    1 root     root            64 Aug 13 05:25 1 -> /dev/null        
lrwx------    1 root     root            64 Aug 13 05:25 2 -> /dev/null        
lrwx------    1 root     root            64 Aug 13 05:25 3 -> socket:[271]

у меня тоже pid 157

[preloader]

к чему всё-таки в файле magic.mgc записи относительно quake?

[kserx]

пришла в голову забавная мысль: мб орги шутят и название вируса просто backdoor ? а вы тут эмуль готовы по полочкам разложить))))

[preloader]

пришла в голову забавная мысль: мб орги шутят и название вируса просто backdoor ? а вы тут эмуль готовы по полочкам разложить))))

кстати, вполне оригинально)

[zzTOP]

Действительно эмуль для 12 задания и для 10 разнятся наличием как раз вот этого сокета :271

[sigizmynd]

кстати, никого не насторожила фраза "не очевидные манипуляции с консолью"? и "то, как передаются файлы" ?? в чем подвох?

Кстати никто не пробовал считать данные с сокета ?

[fakemail2010]

кстати, никого не насторожила фраза "не очевидные манипуляции с консолью"? и "то, как передаются файлы" ?? в чем подвох?

Или они имели в виду то, как подгружается образ SDA, или нужно передать в консоль свою прогу, с помощью которой поймать трояна. Хотелось бы загрузить туда сканер портов, и пройтись по всем, но не выходит.. Нужно его откомпилировать для того ядра.

[fakemail2010]

Действительно эмуль для 12 задания и для 10 разнятся наличием как раз вот этого сокета :271

Странно, у меня и там, и там он есть

upd. Вот для чего они ввели вход в систему с использованием логина? Может троян с этим как-то связан?

[zzTOP]

Проверял по вот этим ссылкам - может что намудрил - но у меня в 12 нету 271

/jslinux/default_q10.html

Код

Welcome to Ideco Linux                                                          
IdecoLinux login: root                                                          
# netstat                                                                      
Active Internet connections (w/o servers)                                      
Proto Recv-Q Send-Q Local Address           Foreign Address         State      
Active UNIX domain sockets (w/o servers)                                        
Proto RefCnt Flags       Type       State         I-Node Path                  
unix  3      [ ]         DGRAM                       268 /dev/../tmp/log        
unix  2      [ ]         DGRAM                       271

/jslinux/default_q12.html

Код

Welcome to Ideco Linux                                                          
IdecoLinux login: root                                                          
# netstat                                                                      
Active Internet connections (w/o servers)                                      
Proto Recv-Q Send-Q Local Address           Foreign Address         State      
Active UNIX domain sockets (w/o servers)                                        
Proto RefCnt Flags       Type       State         I-Node Path                  
unix  2      [ ]         DGRAM                       268 /dev/../tmp/log        
#

UP. Походу он просто не всегда запускается =)

[zh1]

к чему всё-таки в файле magic.mgc записи относительно quake?

это база для утилиты file, которая умеет определять формат по содержимому файла. т.е. это сигнатуры от реальных квейковских файликов.

[zh1]

Проверял по вот этим ссылкам - может что намудрил - но у меня в 12 нету 271

скорее всего что-то намудрил. я сливал образы дисков из 10-го и 12-го вопросов. хоть ссылки по которым эти образы берутся и разные, но внутри одинаковый контент.

т.е. файловая система в 10-м и 12-м вопросах одинаковая. до байтика.

[fakemail2010]

скорее всего что-то намудрил. я сливал образы дисков из 10-го и 12-го вопросов. хоть ссылки по которым эти образы берутся и разные, но внутри одинаковый контент.

т.е. файловая система в 10-м и 12-м вопросах одинаковая. до байтика.

Хмм, очень интересно. Сбросил кэш в опере, и сразу открыл 12 вопрос. Действительно нет 271-го. Уже что-то!

[zh1]

Странно, у меня и там, и там он есть

upd. Вот для чего они ввели вход в систему с использованием логина? Может троян с этим как-то связан?

вариантов может быть 2: это действительно важно (я искал в инете описание трояна, который добавляет пользователей в систему или меняет пароль для рута. я не нашел такого трояна, но это не значит что такой троян не существует)
либо так получилось само когда они стали собирать свой busybox.

[zh1]

Хмм, очень интересно. Сбросил кэш в опере, и сразу открыл 12 вопрос. Действительно нет 271-го. Уже что-то!

ну как так может быть? js код от 10-го я сравнивал с оригинальным. правок связанных с троянов нету. ядро компилировал Фабрис, кастомных модулей в нем быть не может. загрузчик? его я не смотрел, но не думаю что ради конкурса что-то такое продвинутое делали бы.

если в 10-м вопросе что-то добавлено в систему, чего нет в 12-м, то я не могу поручиться только за загрузчик. и то, имя трояна по загрузчику я не могу сказать (а нужно именно название трояна).

[zzTOP]

Сюда по вот этому <body onload="start('default_q10')"> контейнеры для 10 и 12 серверов одинаковые. Но! со стороны сервера может учитываться реф,печенка и т.д.

Тут явно расчет на то что кеш-браузера по одному и тому же урлу будет думать что файлы не изменились - поэтому когда идешь в 10 вопрос а потом в 12 - эмули не меняются. А если проделать на оборот или тупо почистить кеши то в 12 нету 271

Как вариант дать через консоль JS команду

Код

start('default_q12')

[fakemail2010]

Сюда по вот этому <body onload="start('default_q10')"> контейнеры для 10 и 12 серверов одинаковые. Но! со стороны сервера может учитываться реф,печенка и т.д.

Тут явно расчет на то что кеш-браузера по одному и тому же урлу будет думать что файлы не изменились - поэтому когда идешь в 10 вопрос а потом в 12 - эмули не меняются. А если проделать на оборот или тупо почистить кеши то в 12 нету 271

Вообще странно. Кэш чистить не обязательно. Открываю 12 вопрос - есть 271-ый.
Нажимаю обновить страницу, netstat - нет 271-го. Опять обновляю - появляется. И ещё у него иногда другой номер.

[zzTOP]

Угу... а стоит убить klogd и запустить по новой - сокет открывается
Похоже это глюк...

Код

socket(PF_FILE, SOCK_DGRAM, 0)          = 3
fcntl64(3, F_SETFD, FD_CLOEXEC)         = 0
fcntl64(3, F_GETFL)                     = 0x2 (flags O_RDWR)
fcntl64(3, F_SETFL, O_RDWR|O_NONBLOCK)  = 0
connect(3, {sa_family=AF_FILE, path="/dev/log"}, 16) = 0

А тут ничего нового нет...