Information Security
Comments 13
+5
Я тоже подумал, что не хватает этого тега.
Спасибо, интересная статья. Теперь я буду хуже спать.
0
Ну зачем же так сурово. Можно на Fedora с targeted потестировать сначала. Вот этого явно не хватает в текущей статье — как оно реально применимо? Механизмы нападения совершенствуются, но и защиты — не отстают.

По иронии судьбы, Азазель маскируется под libselinux.
+1
Судя по

By default, Azazel installs itself as libselinux.so into /lib. An entry is then added to /etc/ld.so.preload in order to hook system wide dynamically compiled programs.


нужны права рута для полноценной эксплуатации руткита?
0
Не совсем так. Можно, например, определенному пользователю установить в домашнюю директорию, и закинуть LD_PRELOAD в .bashrc.
0
Тогда вопрос с другой стороны: как маскируется мусор в домашнем каталоге и .bashrc (предположим что пользователь или антивирус в состоянии туда дотянуться)? Т. е. он может скрыть само по себе присутствие записи в bashrc?
0
Файлы можно маскировать, задав им определенный GID, например, а для записи в bashrc нужно немного кода дописать.
+1
Я думаю тут больше подходит такой вариант что, подобрали к примеру рут пароль через ссш или поломали тот же плеск и после этого незаметно внедрили данный бекдор и юзают сервак как ноду ботнета. Учитывая что каналы на серверах на порядок лучше чем у юзеров, то ботнет из 100 таких машин вполне будет сопоставим с ботнетом из 10 000 юзеров.
Only those users with full accounts are able to leave comments., please.