[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[stalk:00515] Re: バックドアの隠し場所



Port139 伊原です。

On Fri, 22 Jun 2001 12:54:24 +0900
Toshiboumi bugbird Ohta <bugbird@xxxxxxxxxxxxx> wrote:

> ふに。各位のポストを読みますと、結局は「ありとあらゆるところ」
>というオチになりそ〜な(笑)

うぐぅ...

とりあえず、現状いただいたリプライのうち、場所にフォーカス
して切り抜いて貼ってみます。
理由とか検知方法・回避方法は個別記事参照でお願いします。

改行位置は適宜変更していますので、ご了承くださいませ。

□UNIX 系

[stalk:00506]より
/tmp
/usr/doc
/var/tmp

とかに ... とか ..+ みたいなカンジで隠してました。あと
/sbinとかにそれらしい名前で隠しておくってのもありますよね。

[stalk:00507]より
/usr/lib の下に隠しディレクトリを作って資源を置いていました。

[stalk:00508]より
lionfind-0.1を見ると、以下のディレクトリになっています。
私の知っている事例だと、/dev/、/dev/.lib/の下とかが多いですかね。

/dev/.lib/
/dev/.lib/lib/
/dev/.lib/lib/lib/
/dev/.lib/lib/lib/dev/
/dev/.lib/lib/scan/
/usr/src/.puta/
/usr/man/man1/man1/                                                                                  
/usr/man/man1/man1/lib/                                                                              
/usr/man/man1/man1/lib/.lib/                                                                         
/usr/man/man1/man1/lib/.lib/.backup/                                                                 
/usr/src/.puta/                                                                                      
/usr/info/.t0rn/

[stalk:00509]より

見た訳じゃないですが、
/var/lib
あたりに.付きファイルで隠す、ってのもありますね。
あとは隠すのだからroot権限もっている、と考えると、
/usr/bin
/usr/sbin
/usr/etc
/usr/lib
/lib
あたりでもいいですね。
/dev
あたりにいかにもデバイス、って名前のファイルを作ると以外に
引っかかってくれたりして。
さらにユーザディレクトリの~/binに.ファイル、ってのが
盲点としていいかも、なんて思いますが。
/root/binが存在して、いっぱいシェルスクリプトがおいてあると
おもしろいかもしれない。
<snip>
また、Tripwireを仕掛けたマシンだったら、
/var/log(/var/adm)
なんてところもありかもしれない。
#ファイルの変更が多い->Tripwireで検査してない可能性あり。
例えば、/var/log/message.?(?はloglotateの回数+1にする)
と意外に見つけにくいんじゃない?(Linuxの場合)
・・・・そうすると/var/mailもいかしているかも?
[stalk:00513]より
逆に言えば、悪意を持ったプログラムはtripwire等のツールで
検索しないディレクトリに隠しておけば見つかりにくい、
と言えるのではないでしょうか。

例えば、/tmp, /var/tmp, /usr/tmp, /usr/docなどなど。

□Windows系

[stalk:00505]より
ちなみに、NT 系であれば

 -NTFS データストリーム(ADS)に隠す
 -tmp フォルダに隠す
 -IE のキャッシュフォルダにそれらしい名前で置く
 -WINNT の下に、WINS のテンポラリファイルっぽく置く
 -隠しファイル属性を付ける
 -ゴミ箱の中(SID を勝手に作ってゴミ箱らしくふるまう)

とかが思いつきます。

[stalk:00509]より
あぁ、./cgi-bin(だっけ?)ってのもありかなぁ。
もちろん、隠し属性はいるんですけどね。

□Mac系

[stalk:00509]より
Mac(9)は・・・・どこでもいいんじゃない?(笑)
名称未設定フォルダの中ってのが一番の盲点かも。



---

Hideaki Ihara <hideaki@xxxxxxxxxxxxx>
Port139 URL: http://www.port139.co.jp/
PGP PUBLIC KEY: http://www.port139.co.jp/pgp/

--
- このメイリングリストに関する質問・問い合せ等は
- <security-talk@xxxxxxxxxx>までお知らせください
--
------------------------------------------------------------------------
  インフォシーク株価に新機能登場!!【銘柄条件検索】ってなにもの?? 
  http://stock.infoseek.co.jp/Stock?pg=stock_top.html&sv=ST&svx=971122