Компьютерный андеграунд


Глава 10 -- Антракс - аутсайдер - стр. 12


Он знал, что нельзя изменить дату создания, не изменяя часы для всей системы - кое-что, что могло принести проблемы где-нибудь в System X.

Первая вещь, которую делает хороший системный администратор, когда подозревает взлом - ищет все файлы, созданные или изменённые в последние несколько дней. Одно дуновение захватчика и хороший админ исправить все заплатки Антракса к login втечение 5 минут.

Антракс записал даты изменения и создания на клочке бумаги. Ему нужен этот момент. Также он записал размер файла login.

Вместо выдирания старой программы и пришивания полностью новой Антракс решил поместить заплатку поверх начала старой программы. Он закачал свою заплатку к login с мастер-паролем, но пока не устанавливал. Его заплатка называлась "troj" - сокращение от троян. Он напечатал:

cat troj > /bin/login

Команда cat говорила компьютеру: "возьми данные из файла по имени 'troj' и помести в файл '/bin/login'". Он сверился с клочком бумаги, на котором набросал первоначальные даты, сравнивая их с новыми. Дата создания совпадала с оригинальной. Дата изменения была всё ещё неверной, но это уже 2/3 пути до финала.

Используя малоизвестную особенность команды, Антракс начал пришивать последний уголок заплатки:

/usr/sbin/date

Затем он изменил дату изменения своей заплатки на первоначальную дату файла login.

Он отошёл, чтобы повосхищаться работой со стороны. Установленная заплатка превосходно совпадала с оригиналом. Тот же размер. Та же дата создания. Та же дата модификации. Вместе с заплаткой он удалил root аккаунт, установленный во время посещения 2001-го порта. Он всегда забирал свой багаж, когда уходил.

Теперь немного позабавимся. Поищем вокруг. Антракс направился к почте - лучшему способу, чтобы узнать для чего использовалась система. Там было множество сообщений системным пользователям о покупке оборудования, отчёты о текущем проекте, добавления. Что за проект?

Антракс прошёлся по громадной директории. Он открыл её и там внутри оказалось около 100 поддиректорий.


Начало  Назад  Вперед