68user's page 掲示板: 過去ログ

68user's page 掲示板

Prev< No. 2967～2972> Next [最新発言に戻る] [過去ログ一覧]

No. 2967 # 68user 2002/12/03 (火) 13:04:01

>>2966 kiki
今度は検出なわけですね?

> /var/log/messageでは,本物のsuの痕跡しか残らない事を利用して,
syslog(3) や logger(1) を使えば誰でも su と同様にログに記録する
ことはできますので、これだけでは正確に判断できません。

では他に判断する方法はあるかというと、決定的なものはないです。
結局は「何をもって本物と判断するか」「何を持って悪意のあるプロ
グラムと判断するか」に帰着するわけで。興味があればアンチウィルス
ソフトがウィルスを検出する手段を調べてみるとよいでしょう。

で、それとは別に「どうやって su がタイプされたことを検出するか」という
話ですが、ウィルスやトロイの木馬にやられるときというのは、つまるところ
「プログラムを実行したとき」なわけで、exec(2) の実行直前に su を実行
しようとしているかどうか、というチェックをすればよいでしょう。

プロセス間通信やデーモンは「なぜそれを使う必要があるか」を説明でき
ないなら、使う必要はないということです。

別の解としては、システムコールの発行を hook して安全性をチェック、
というのもありますが、UNIX でこういうのってできるのかなーと思って
調べてみたら、なんかできるようですね。
http://www.caj.co.jp/support/etrustac_faq.htm
Q6: eTrust Access ControlのSoft Hook技術とは何ですか?
カーネルを置き換えているのか、あるいは libc のシステムコール発行部分を
置き換えているのか…(できるのかな?)

# Windows なら SetWindowsHookEx で簡単なんですけど。

No. 2968 # kiki 2002/12/03 (火) 17:53:30

>>2967 68user様
お返事ありがとうございます．

>syslog(3)やlogger(1) を使えば誰でも su と同様にログに記録することはできます

これはsuトロイを実行した時にも/var/log/messageに本物のsuの認証失敗のメッセージ
を残せる,という事なんですよね．これは,suトロイ内でsyslog()関数などを使って,
syslogdにメッセージを渡すという事なのでしょうか？

P.S.
システムコールで見分ける,ですね．
確かに,suトロイと本物のsuだとやっている事はちがうから
見分けられるかも知れませんね．アドバイスありがとうございます．

No. 2969 # kiki 2002/12/04 (水) 21:25:13

>>2967 68user様

何回も申し訳ありません．kikiです．

>exec(2)の実行直前にsuを実行しようとしているかどうか、というチェックをすればよいでしょう。

これは,システムコールのチェックを自動化させて行なえばよい,
という事なのでしょうか？

基本的な事で申し訳ありません．

No. 2970 # ふくし [E-mail] 2002/12/05 (木) 18:47:37

いつもすいません、質問です。
以下のようなプログラムを Perl 5.8/FreeBSD 2.2.8 release で書きたいです。

カンタンにいうと、入れ子になったタグで囲まれた部分だけを
別ファイルに抜き出し、元ファイルからは削除する、です。

順序を保存して抜く方法と、
保存しないで抜く方法とあると思いますが、
どちらでもかまいません。
（前者の方がいいかなぁ、、）

入力ファイル：

out1
<tag a>
  in1
    <tag b>
        in2
        <tag c>
            in3
        </tag>
        in4
    </tag>
  in5
</tag>
out2
<tag d>
  in6
    <tag e>
        in7
    </tag>
  in8
</tag>
out3
<tag f>
  in9
</tag>
out4

出力ファイル例１：（順序を保存して抜く）

ファイルA：（タグで囲まれた部分のみを抜いたもの）
<tag a>
  in1
    <tag b>
        in2
        <tag c>
            in3
        </tag>
        in4
    </tag>
  in5
</tag>
<tag d>
  in6
    <tag e>
        in7
    </tag>
  in8
</tag>
<tag f>
  in9
</tag>

ファイルB：（ファイルAで抜いた残り）
out1
out2
out3
out4

出力ファイル例２：（順序を保存しないで抜く）

ファイルA：（タグで囲まれた部分のみを抜いたもの）
        <tag c>
            in3
        </tag>
    <tag b>
        in2
        in4
    </tag>
<tag a>
  in1
  in5
</tag>
    <tag e>
        in7
    </tag>
<tag d>
  in6
  in8
</tag>
<tag f>
  in9
</tag>

ファイルB：（ファイルAで抜いた残り）
out1
out2
out3
out4

よろしくお願いします。

No. 2971 # ふくし [E-mail] 2002/12/05 (木) 20:32:07

補足です。
この tag というのは全部同じタグです。
ただオープンタグにかかれている a, b, ... という
アトリビュートが全部違います。

No. 2972 # ふくし [E-mail] 2002/12/05 (木) 23:16:22

さらに補足。（俺って説明下手だな、、;;;
ファイルには <tag> 以外のタグも存在します。
<aaa ???>～</aaa>、<bbb ???>～</bbb> などです。
その中で下の処理の対象になるのが <tag> だけということです。
<tag ???>～</tag> の中に <xxx ???>～</xxx> がある場合は、
それも抜いて書き出します。
問題の定義もなかなか奥が深い。

Prev< No. 2967～2972> Next [最新発言に戻る] [過去ログ一覧]