Конкурс "Системный Администратор 2012", Квест и тест. Обсуждаем, решаем. Опции

[cvsbook]

их там три с PID 146, 37, 38

Который 146.

Где физически расположен не понятно. Вероятно, уже встроен в какой-то модуль.
Данный о процессе - /proc/146
/proc/146/exe - вероятно, его исполняемый файл

[preloader]

Который 146.

Где физически расположен не понятно. Вероятно, уже встроен в какой-то модуль.
Данный о процессе - /proc/146
/proc/146/exe - вероятно, его исполняемый файл

exe символьная ссылка к /bin/busybox

[Vov_chiK]

Требуется код (номер, число). Номер процесса всегда один и тот же (146), и при убийсве процесса 146 перестоет спамить "Give me some cookies ".

[Decker]

Требуется код (номер, число). Номер процесса всегда один и тот же (146), и при убийсве процесса 146 перестоет спамить "Give me some cookies ".

Не думаю что PID процесса является ответом к заданию конкурса, хотя ...

[kserx]

я смотрел TOP`ом...
подразумеваем что ответ должен быть лаконичным.... 146 вполне нормальный ответ....

[zahar]

/proc/146 # cat statm
83 33 24 1 0 26 0

может оно ? или я ошибаюсь

[sigizmynd]

я смотрел TOP`ом...
подразумеваем что ответ должен быть лаконичным.... 146 вполне нормальный ответ....

ну а как же "печеньки". я не верю, что все так просто. тем более админы говорят : "как только вы увидите вирус, вы все поймете", по итогу - вируса мы не видим, так что и понимать нечего.

может кто знает чем кроме lsof можно просмотреть файлы используемые процессом?

P.S. тем более как я понимаю это процесс ядра, который запускается с системой.

в директории 3 странных комовских файла, один из них - генератор числа ПИ и тут же исходник
не кажется это странно?

[kserx]

43 чел. читают эту тему (гостей: 36, скрытых пользователей: 0)

растем.... зы офтоплю...

[Decker]

в директории 3 странных комовских файла, один из них - генератор числа ПИ и тут же исходник
не кажется это странно?

В какой именно директории?

p.s. А ... все ... понял ... речь идет про /root/dos и hpigot.com ...

[cvsbook]

В какой именно директории?

/root/dos
Ну думаю, что они важны т.к. они присутствуют и в "чистом", оригинальном эмуляторе http://bellard.org/jslinux/

[cvsbook]

Не знаю, значит это что-то, или нет, но при запуске вируса появляется такая вот запись в mount:

/dev/root on /bin/busybox type ext2 (ro)

[Decker]

Не знаю, значит это что-то, или нет, но при запуске вируса появляется такая вот запись в mount:

/dev/root on /bin/busybox type ext2 (ro)

А как запустить вирус после kill уже нашли?

[cvsbook]

А как запустить вирус после kill уже нашли?

Нет, увы. Пока только ясно, что вирус запускается только при window.input_clipboard_text = "#heck" на этапе инициализации системы.

[yuriy]

я нашел вот это в бинарниках:

read line < /dev/clipboard

if [ "$line" = '#hack' ]; then
source /dev/clipboard
fi

while /bin/true; do

setsid sh -c 'exec sh </dev/ttyS0 >/dev/ttyS0 2>&1'

done

[yuriy]

вот здесь Форум глухонемых и слабослышащих, я там создал тему, может найдете что-нить интересное
http://www.gluhonemoy.ru/showthread.php?t=8545
вот здесь жесты по странам мира -> http://jestov.net/azbuka.php?id=26

[kserx]

полистайте форум назад, ответ очевиден уже без жестов))

по паролю: надо что-то(пока не приходит на ум, что) сделать чтоб система его написала сама

[Decker]

я нашел вот это в бинарниках:

read line < /dev/clipboard

if [ "$line" = '#hack' ]; then
source /dev/clipboard
fi

while /bin/true; do

setsid sh -c 'exec sh </dev/ttyS0 >/dev/ttyS0 2>&1'

done

Это в /sbin/init ... да ... знаю. При этом /dev/clipboard - это поле ввода ответа. Если вы посмотрите оригинальную консоль, там можно общаться с clipboard'ом, т.е. брать данные из него, например, cat /dev/clipboard > 1.txt, и писать данные в него, например echo "Test" > /dev/clipboard ... Только у разработчиков теста "единый" буфер обмена разделен на input_clipboard и output_clipboard ...

Еще одно наблюдение: как достать бинарники из эмулятора:

http://admin2012.ru/jslinux/linuxstart.bin
http://admin2012.ru/jslinux/default3/vmlinux-2.6.20.bin

Данные /dev/hda хранятся в файлах вида:

http://admin2012.ru/jslinux/default3/hda000000003.bin (и т.д. номера)

/* IDE drive. The raw disk image is split into files of
* 'block_size' KB.
*/
params.hda = { url: dir+"/hda%d.bin", block_size: 64, nb_blocks: 912 };

Основные скрипты:

http://admin2012.ru/jslinux/utils.js
http://admin2012.ru/jslinux/cpux86.js
http://admin2012.ru/jslinux/jslinux.js
http://admin2012.ru/jslinux/cpux86-ta.js

А теперь "фишка" ... в задании запускается функция start3 при загрузке:

Код

function start3(ret)
{
    var block_list;
    if (ret < 0)
        return;
    /* Preload blocks so that the boot time does not depend on the
     * time to load the required disk data (optional) */
    block_list = [
        0, 3, 7, 643, 720, 256, 336, 644, 781, 387, 464, 475, 513,
        842, 131, 589, 776, 777, 778, 779, 512, 468, 592, 472, 474,
        465, 466, 473, 467, 469, 470, 471, 691, 697, 708, 792, 775
    ];

    pc.ide0.drives[0].bs.preload(block_list, start4);
}

Номера необходимых блоков HDD мы получили. Попробуем их скачать ... и посмотреть "внутрь".

[Sefa]

думаете в блоках HDD будет ответ?

[Decker]

думаете в блоках HDD будет ответ?

Я думаю сначала выкачать их все, ну а потом уже разбираться что к чему

[yuriy]

su
echo "#hack" > /dev/clipboard
никто непробовал?