Переживаю из-за того, что под юниксами так и не появилась культура работы с бинарями, лошадки в мире open-source поставляются в исходниках (и зачастую открытых^*, я уже писал про Темную Пиявку aka DarkLeech), на этот раз мне подкинули пару бинарей sshd на посмотреть. Один из них оказался резервной копией оригинала. Второй пропатченный. Спалили его по rpm -V.

Я тоже не люблю спросонья в бинарях копаться. Взял strings.

      pax vobiscum
      /tmp/mc.tmp
      Sshd password detected: %s:%s

На колупание бэкдора ушло 10 минут. До дизассемблера не дошло. А я-то думал отложить на утро, и предвидел чудеса кодерской мысли и тайны ондеграунда. :-) С pam_unix.so - та же беда, вот уже несколько лет школоло таскает один и тот же one liner ("if (strcmp(p,"secpass")==0 ){retval = PAM_SUCCESS;}"), zero-day, блять, сцыкьюрити, оборачивая его не менее "илитными" скриптами на sh. Мир вам, тупые дети! Неужели, так трудно написать нормальную лошадку, так чтобы не тащить в систему 100500 девелоперского стаффа и прочего говна? Тем более, что все уже давно написано. Подсказки давать не буду, кому нужно - сам найдет.

(* у этого подхода есть и достоинства - антивирус бесполезен, чуть менее, чем полностью. Впрочем, антивирус бесполезен в любом случае. Недостатков вагон.)