Хостинг-сервер моего друга получил root-права, и мы отследили некоторые команды злоумышленника. Мы обнаружили несколько эксплойтов в каталоге /tmp/.idc. Мы отключили сервер и сейчас тестируем некоторые локальные эксплойты ядра, которые пытался использовать злоумышленник. наш сервер. Вот наша версия ядра: 2.4.21-4.ELsmp # 1 SMP Мы думаем, что он получил root-доступ с помощью модифицированного локального корневого эксплойта uselib (), но эксплойт не работает! loki @ danaria {/ tmp} # ./mail -l ./lib
[+] Очистка дочерних VMA 1 для SLAB 32768
Эксплоит вот так виснет .. Ждал минут 5 но ничего не произошло. Я также пробовал другие эксплойты, но они не работали .. Есть идеи? или эксперименты с этим эксплойтом? Потому что нам нужно найти проблему и исправить наше ядро, но мы не можем понять, как он использовал этот эксплойт для получения root ... Спасибо
Часто публикуется несколько версий эксплойта. Некоторые работают, а некоторые нет. Они не всегда будут работать в любой изменчивой ситуации, поскольку это не надежное программное обеспечение. Возможно, хотя и маловероятно, что взломщик разработал собственное решение для компрометации вашего сервера. Также возможно, что они использовали другой метод.
Если есть известные проблемы безопасности, связанные с версиями запущенного программного обеспечения, лучше всего обновить их. Даже если эксплойт не работает, это не значит, что вы не уязвимы.
Я также знал, что взломщики закрывают уязвимости после взлома, чтобы обеспечить постоянный контроль над системой.
Как я уверен, вы знаете, что вы больше не можете считать систему безопасной, не перестроив ее с нуля. Я ответил на несколько вопросов о передовых методах обеспечения безопасности в прошлом, в которых этот вопрос рассматривается более подробно. Удачи.