Информация об изменениях

Сообщение Re[3]: Linux: царь^w root ненастоящий! от 17.08.2016 22:10

Изменено 17.08.2016 22:51 andrey.desman

Здравствуйте, IID, Вы писали:

IID>2) убитые процессы-демоны самостоятельно перезапускаются в течении ~минуты. Парент /init (pid=1). Механизм перезапуска пока не выяснил. Китайцы вообще мощно в систему внедрились, я около 10ка копий насчитал, это только бегло найденные.


Собственно, init их и презапускает.

IID>>Ты в своей утилите логировал результаты вызова всех этих seteuid/getuid?

IID>Все такие вызовы успешны. Отдизасмил частично китацев — они делают вот так:

Это странно. Может обманывает?
Ты из adb запускаешь? Я посмотрел код adb демона — он дропает cap_setuid/cap_setgid из своего bounding set. Получить их обратно уже невозможно, даже если запускать setuid бинарь.
Вероятно по этой причине китайцы запилили демон.
Re[3]: Linux: царь^w root ненастоящий!
Здравствуйте, IID, Вы писали:

IID>2) убитые процессы-демоны самостоятельно перезапускаются в течении ~минуты. Парент /init (pid=1). Механизм перезапуска пока не выяснил. Китайцы вообще мощно в систему внедрились, я около 10ка копий насчитал, это только бегло найденные.


Собственно, init их и презапускает.

IID>>Ты в своей утилите логировал результаты вызова всех этих seteuid/getuid?

IID>Все такие вызовы успешны. Отдизасмил частично китацев — они делают вот так:

Это странно. Может обманывает?
Ты из adb запускаешь? Я посмотрел код adb демона — он дропает cap_setuid/cap_setgid из своего bounding set. Получить их обратно уже невозможно, даже если запускать setuid бинарь.
Вероятно по этой причине китайцы запилили демон.


Upd. Ничего странного. Он не дропает cap_setuid/cap_setgid, а наоборот, оставляет только их. Т.е. да, ты получаешь рута, только этот рут ничего не может.