Если кто-то вводит приглашение оболочки (путем использования внешнего shellcode, и берущий под свой контроль систему прежде, чем выполнить использование) делает сообщения журнала Ubuntu к /var/log/lastlog
, /var/log/wtmp
, /var/log/kern.log
, /var/log/syslog
или безотносительно? Если это делает, как сообщение журнала похоже? Я знаю только segfault (если ядро вывело) как это сообщение в /var/log/kern.log
и /var/log/syslog
:
Jan 10 11:30:02 ubuntu kernel: [10980.811200] bo1[15439]: segfault at 0 ip 001a7210 sp bfbac640 error 4 in ibc-2.11.1.so[134000+153000]
Или это не делает и мы обречены?
Не существует общего способа обнаружения атак с использованием шелл-кода и, следовательно, нет канонического шаблона записи в журнал для них. Если бы это было возможно, такого рода атака не представляла бы опасности, потому что системы обнаружения вторжений могли бы надежно обнаруживать и предотвращать их.