Hack FAQ

VEiDER

Xakep, номер #052, стр. 052-044-3

Q: Я получил шелл на некотором компьютере, но боюсь его потерять. Каких вещей мне не стоит там делать?

A: В первую очередь не стоит добавлять пользователей с uid'ом 0. Да и вообще, добавлять новых юзеров не лучшая идея, т.к. это слишком заметно. Также я бы не стал делать "cat /dev/null >/var/log/*", т.к. пустые логи сразу вызывают множество ненужных подозрений. Очень странно выглядит suid'ный файл bash, лежащий в tmp. И еще очень опасно вызывать ошибки в системе, ведь сообщения о них отправляются в консоль администратору. А это будет явным признаком, что система взломана.

Q: Используя уязвимость в одном сервисе, я смог изменить .profile root'а так, что у меня в homedir создался bash файл с установленным суидным битом. Вот его атрибуты - "-r-sr-sr-x root wheel suidsh". Вроде все правильно, но это не работает. Почему так?

A: Возможно, что твой домашний каталог подключается с опцией nosuid. Если эта опция установлена, то ты в пролете. Проверить ее активность можно при помощи команды mount. Запускай ее без всяких аргументов. Если в ответ ты получишь нечто подобное - "/dev/wd0e on /home type ffs (local, nodev, nosuid)", значит опция nosuid включена. Посмотри, где она отсутствует, и положи туда свой bash.