Będzie tego już z 15 lat. W domu Sparky Linux (na stałe) i Ubuntu MATE (do testów). W pracy Manjaro. Wcześniej openSUSE (dom) i SLED (praca).
W jaki sposób ten keylogger podniesie sobie uprawnienia bez podawania hasła? Pomijam błąd w kernelu, który pozwala podnieść uprawnienia dowolnego użytkownika, a takie błędy miały miejsce. Czy taki keylogger podniesie sobie uprawnienia, gdy użytkownik jest uwierzytelniany z bazy LDAP lub MySQL lub przez Kerberos i nie ma możliwości zalogowania się na lokalnego roota (systemowego)?
PAM można skonfigurować tak, że nikt nie zaloguje się na lokalnego użytkownika, użytkownicy i root będą tylko uwierzytelniani z bazy LDAP, MySQL lub przez RADIUS bądź Kerberos.
1 polubienie
Bez podawani hasła sobie nie podniesie, to raczej wiadome. Ja osobiście miałem już styczność z robakiem, który infekował stacje przez zwykły załącznik, podczepiał się do autostartu (spryciarz wykrywał GUI, a jak go nie było to podczepiał się pod pliki konfiguracyjne powłok), sczytywał hasła skąd tylko się dało (w obrębie konta), sczytane hasła próbował użyć do podbicia uprawnień (tylko w przypadku gdy użytkownik należał do grupy wheel).
Co do autoryzacji z bazy, to wszystko zależy od tego jak skonfigurowane są uprawnienia - np. czy w bazie nie ma skonfigurowanych kont administratorów (scentralizowana administracja). W takim przypadku logujesz się “lokalnie” przez np. SSSD.
No okej, ale hasła nie są przechowywane w shadow jawnie (pomijam bazy danych, bo z tym bywa różnie).
Hasła są zahashowane za pomocą bezpiecznej funkcji SHA256
Jako zczytywanie rozumiemy także przechwytywanie znaków wprowadzanych przy pomocy klawiatury.
Pisałeś o robakach 
keylogger to wiadomo.
No od dłuższego czasu robaki to już bardziej jak całe podsystemy z własnymi kompilatorami, gdzie keyloger to tylko jeden z dodatków. Kiedyś usuwało się jeden plik i po klopocie, teraz dziadostwo jak rozsieje się po systemie, to jedyne co można zrobić to obraz partycji (do późniejszej analizy) i system od podstaw, o ile dziadostwo nie siedzi już w UEFI czy obszarze MBR/GPT.
To takie placebo dla uchodźców z Windowsa 
Tego nie wiem, po prostu pokazałem, że jest.
No tak to jest … firmy ogłaszają odnalezienie jakiegoś tam syfu na linuksa z wielkimi fanfarami, żeby potem “wyjść naprzeciw” z ofertą … Pisałem wyżej - wszystkie majo pakiety, skanery, cuda na kiju …
Antywirusy na Linuksa, owszem, istnieją, ale bardziej z myślą o serwerach (plików, pocztowych), gdzie filtrowane i skanowane są pliki przed dostarczeniem ich do użytkownika końcowego, który w 99% przypadków pracuje na Windows lub OS X.
Scenariusz jest prosty.
- Instalujemy skrypt do ~/bin
- Skryot ten robi /sbin/sudo czy tam /usr/sbin/sudo
- Plik zaraz potem wykonuje sudo <złośliwe polecenie>
Prosty. Niestety ale po prostu nie masz pojęcia o czym piszesz, choćby gdzie jest folder ~/bin. Reszta w tym samym stylu.
A hasło użytkownika/roota (w zależności od dystrybucji)…? Rzadko które distro pozwala na uruchomienie sudo bez podania jakiegokolwiek hasła.
Ja się z takim jeszcze nie spotkałem.
Coś mi świta, że tak można w Deepinie.
Może nie mam, Zapomniałem, że to o Linux Mint . Ja swój skrypt testowałem pod OpenSuSE, gdzie katalog ~/bin istnieje. Skrypt nazywa się sudo, a w 3. punkcie chodziło oczywiście o /usr/bin/sudo <złośliwe polecenie>, a w drugim /usr/bin/sudo <polecenie wydane przez użytkownika, jako parametry>
Jak chcesz to zrobić nie mając fizycznego dostępu do sprzętu i sieci?