Если кто-то входит в приглашение оболочки (используя внешний шеллкод и управляя системой перед запуском эксплойта), сообщения журнала Ubuntu записываются в /var/log/lastlog, /var/log/wtmp, /var/log/kern.log, /var/log/syslog или что-то еще? Если это так, как выглядит сообщение журнала? Я знаю только segfault (если ядро сбрасывается), как это одно сообщение в /var/log/kern.log и /var/log/syslog:
Jan 10 11:30:02 ubuntu kernel: [10980.811200] bo1[15439]: segfault at 0 ip 001a7210 sp bfbac640 error 4 in ibc-2.11.1.so[134000+153000]
Или это не так, и мы обречены?
Не существует общего способа обнаружения атак кода оболочки и, следовательно, для них нет канонического шаблона входа в журнал. Если бы это было возможно, такая атака не создавала бы никакой опасности, поскольку системы обнаружения вторжений могли бы надежно обнаружить и помешать им.
Не существует общего способа обнаружения атак кода оболочки и, следовательно, для них нет канонического шаблона входа в журнал. Если бы это было возможно, такая атака не создавала бы никакой опасности, поскольку системы обнаружения вторжений могли бы надежно обнаружить и помешать им.
Не существует общего способа обнаружения атак кода оболочки и, следовательно, для них нет канонического шаблона входа в журнал. Если бы это было возможно, такая атака не создавала бы никакой опасности, поскольку системы обнаружения вторжений могли бы надежно обнаружить и помешать им.