Где и как Ubuntu регистрирует нападения shellcode?
Если кто-то вводит приглашение оболочки (путем использования внешнего shellcode, и берущий под свой контроль систему прежде, чем выполнить использование) делает сообщения журнала Ubuntu к /var/log/lastlog, /var/log/wtmp, /var/log/kern.log, /var/log/syslog или безотносительно? Если это делает, как сообщение журнала похоже? Я знаю только segfault (если ядро вывело) как это сообщение в /var/log/kern.log и /var/log/syslog:
Jan 10 11:30:02 ubuntu kernel: [10980.811200] bo1[15439]: segfault at 0 ip 001a7210 sp bfbac640 error 4 in ibc-2.11.1.so[134000+153000]
Или это не делает и мы обречены?
1 ответ
Не существует общего способа обнаружения атак с использованием шелл-кода и, следовательно, нет канонического шаблона записи в журнал для них. Если бы это было возможно, такого рода атака не представляла бы опасности, потому что системы обнаружения вторжений могли бы надежно обнаруживать и предотвращать их.
-
1Есть ли какие-либо недостатки или опасности использовать 3,4 ядра магистрали, о которых должны знать пользователи? – Eliah Kagan 5 June 2012 в 22:59
-
2Есть ли какие-либо недостатки или опасности использовать 3,4 ядра магистрали, о которых должны знать пользователи? – Eliah Kagan 5 June 2012 в 22:59
-
3Есть ли какие-либо недостатки или опасности использовать 3,4 ядра магистрали, о которых должны знать пользователи? – Eliah Kagan 5 June 2012 в 22:59
-
4Есть ли какие-либо недостатки или опасности использовать 3,4 ядра магистрали, о которых должны знать пользователи? – Eliah Kagan 5 June 2012 в 22:59
-
5Есть ли какие-либо недостатки или опасности использовать 3,4 ядра магистрали, о которых должны знать пользователи? – Eliah Kagan 5 June 2012 в 22:59
-
6Есть ли какие-либо недостатки или опасности использовать 3,4 ядра магистрали, о которых должны знать пользователи? – Eliah Kagan 5 June 2012 в 22:59