Сообщение Re[3]: Linux: царь^w root ненастоящий! от 17.08.2016 22:10
Изменено 17.08.2016 22:51 andrey.desman
Здравствуйте, IID, Вы писали:
IID>2) убитые процессы-демоны самостоятельно перезапускаются в течении ~минуты. Парент /init (pid=1). Механизм перезапуска пока не выяснил. Китайцы вообще мощно в систему внедрились, я около 10ка копий насчитал, это только бегло найденные.
Собственно, init их и презапускает.
IID>>Ты в своей утилите логировал результаты вызова всех этих seteuid/getuid?
IID>Все такие вызовы успешны. Отдизасмил частично китацев — они делают вот так:
Это странно. Может обманывает?
Ты из adb запускаешь? Я посмотрел код adb демона — он дропает cap_setuid/cap_setgid из своего bounding set. Получить их обратно уже невозможно, даже если запускать setuid бинарь.
Вероятно по этой причине китайцы запилили демон.
IID>2) убитые процессы-демоны самостоятельно перезапускаются в течении ~минуты. Парент /init (pid=1). Механизм перезапуска пока не выяснил. Китайцы вообще мощно в систему внедрились, я около 10ка копий насчитал, это только бегло найденные.
Собственно, init их и презапускает.
IID>>Ты в своей утилите логировал результаты вызова всех этих seteuid/getuid?
IID>Все такие вызовы успешны. Отдизасмил частично китацев — они делают вот так:
Это странно. Может обманывает?
Ты из adb запускаешь? Я посмотрел код adb демона — он дропает cap_setuid/cap_setgid из своего bounding set. Получить их обратно уже невозможно, даже если запускать setuid бинарь.
Вероятно по этой причине китайцы запилили демон.
Re[3]: Linux: царь^w root ненастоящий!
Здравствуйте, IID, Вы писали:
IID>2) убитые процессы-демоны самостоятельно перезапускаются в течении ~минуты. Парент /init (pid=1). Механизм перезапуска пока не выяснил. Китайцы вообще мощно в систему внедрились, я около 10ка копий насчитал, это только бегло найденные.
Собственно, init их и презапускает.
IID>>Ты в своей утилите логировал результаты вызова всех этих seteuid/getuid?
IID>Все такие вызовы успешны. Отдизасмил частично китацев — они делают вот так:
Это странно. Может обманывает?
Ты из adb запускаешь? Я посмотрел код adb демона — он дропает cap_setuid/cap_setgid из своего bounding set. Получить их обратно уже невозможно, даже если запускать setuid бинарь.
Вероятно по этой причине китайцы запилили демон.
Upd. Ничего странного. Он не дропает cap_setuid/cap_setgid, а наоборот, оставляет только их. Т.е. да, ты получаешь рута, только этот рут ничего не может.
IID>2) убитые процессы-демоны самостоятельно перезапускаются в течении ~минуты. Парент /init (pid=1). Механизм перезапуска пока не выяснил. Китайцы вообще мощно в систему внедрились, я около 10ка копий насчитал, это только бегло найденные.
Собственно, init их и презапускает.
IID>>Ты в своей утилите логировал результаты вызова всех этих seteuid/getuid?
IID>Все такие вызовы успешны. Отдизасмил частично китацев — они делают вот так:
Это странно. Может обманывает?
Ты из adb запускаешь? Я посмотрел код adb демона — он дропает cap_setuid/cap_setgid из своего bounding set. Получить их обратно уже невозможно, даже если запускать setuid бинарь.
Вероятно по этой причине китайцы запилили демон.
Upd. Ничего странного. Он не дропает cap_setuid/cap_setgid, а наоборот, оставляет только их. Т.е. да, ты получаешь рута, только этот рут ничего не может.