* Ralf Corsepius schrieb am 18.Sep.2001:
On Mon, 2001-09-17 at 09:07, Thomas Hertweck wrote:
Bernd Brodesser wrote:
Plumpe Trojaner, die z.B ein rm -rf / machen, fliegen natürlich sofort auf.
Verkleide den rm -rf / ein wenig und verpacke ihn in ein Binary. Er wird in sehr vielen Fällen erst auffallen, wenn es im Einzelfall zu spät ist ;)
Ja, klar, aber so ein Trojaner verbreitet sich nicht. Wenn es nicht auffällt und erst Monate später wirksam wird, dann ist er evtl. schon sehr verbreitet.
Bist Du Dir sicher, dass die neuen RPMs von "k-ganz-tolles-progi", die Du Dir neulich von ftp.woauchimmer.com gezogen hast und mittels rpm installiert hast, nicht am 31.12.01 einen rm -rf / durchführen oder nicht schon deine Online-Bankingdaten per email verschickt haben?
Nein, und letzteres wäre sicherlich weit schlimmer als ein rm.
Weisst Du auch ganz sicher, dass der experimentelle 2.4.9-bla.tar.gz Kernel, oder der Binär-Treiber für deine exotische USB-HW, den Du neulich gezogen hast, nicht mit mutwilligen Bösartigkeiten versehen ist?
Bist Du Dir auch ganz sicher, dass der Site von dem Du neulich die Downloads durchgeführt hast, nicht gespooft war?
Nein, mein Reden.
wenn der Trojaner erst mal das macht wofür man ihm auch aufgespielt hat, aber nebenbei auch den Kernel verändern. Das fällt erst mal gar nicht auf, da ja der Kernel schon geladen ist. Erst beim nächsten Hochfahren wird der veränderte Kernel geladen.
Dazu 'ne Frage: Das wuerde ja doch sicherlich auch nur als Root funktionieren, oder?
Im Normalfall ja, nur ist es ja bekanntermassen eine Eigenschaft von Viren und Co. Sicherheitslücken auszunutzen.
So ist es und es gibt Sachen, die als root gemacht werden müssen. Zum Bleistift installieren.
So gab es in der Vergangenheit Bugs, z.B. in der bash und in xterm, die es jedem beliebigen User erlaubt hatten, "root" zu werden.
Ist für ein Trojaner eigentlich gar nicht nötig. Es gibt genügend Sachen, die nur als root gemacht werden können. Bugs ausnützen hat den Nachteil, das die Bugs recht schnell behoben werden. Bernd -- Hast Du bei Problemen schon in der SuSE-Support-Datenbank (SDB) nachgesehen? Auf Deinem Rechner: http://localhost/doc/sdb/de/html/index.html | mit Apache: http://localhost/doc/sdb/de/html/key_form.html | Zufalls- Tagesaktuell bei SuSE: http://sdb.suse.de/sdb/de/html/index.html | signatur 2