Örneğin, birisi kök şifremi almak için sahte bir Kimlik Doğrulama iletişim kutusu yaratıyor. Gerçek mi sahte mi?
Örneğin, birisi kök şifremi almak için sahte bir Kimlik Doğrulama iletişim kutusu yaratıyor. Gerçek mi sahte mi?
Yanıtlar:
Demek ki, muhtemelen orada bir PolicyKit yükseltme istemine bakıyorsunuz. Birlikte oynamak isteyenlerden biri olmayan herkes koşabilir pkexec echo
(ya da onun gibi bir şey) koşabilir ve benzer bir şey elde ederler.
Peki bir Pencere ile ilgili bilgi edinebilir xprop
ve komut bilgisini de alabilirsiniz ps
. Buharlaşmadan önce, burada süper paranoyak olduğumuz için, birisinin bu komutların herhangi birinin yerel olarak kesilmiş bir kopyasını eklemesi ihtimaline karşı tam yollar kullanıyorum. İşte kutuma pkexec echo
koyacağım:
$ /bin/ps $(/usr/bin/xprop _NET_WM_PID | /usr/bin/awk '{print $NF}')
PID TTY STAT TIME COMMAND
3989 ? Sl 0:00 /usr/lib/kde4/libexec/polkit-kde-authentication-agent-1
Söyleyebildiğimiz kadarıyla (KDE kullanıcısı olduğumu unutmayın) bu meşru bir bilgi istemidir. Kötü bir şey sistemi zaten köklendirmediği sürece bazı yerel senaryolar tükenmiyor (ama hey, neden tekrar şifremize ihtiyaç duysunlar?), Muhtemelen güvendeyiz.
Durumunda gksu
, kdesu
ve pkexec
ister onlar çalıştırmak için gidiyoruz ne oldukça açık bulunmaktadır. İlk ikisinde, yukarıdaki komut size kaçmayı planladıklarını söyleyecektir:
$ /bin/ps $(/usr/bin/xprop _NET_WM_PID | /usr/bin/awk '{print $NF}')
PID TTY STAT TIME COMMAND
10395 ? Sl 0:00 /usr/lib/kde4/libexec/kdesu -u root -c /usr/sbin/synaptic
PolicyKit durumunda, o detaylar sekmesini tıklayabilir ve hangi izni çalıştırmak istediğini görebilirsiniz. KDE'de ayrıca aranabilecek arayan PID'i göreceksiniz ( ps <PID>
). İşte KDE'de göründüğü gibi:
Eylemin üzerine gelebilir ve yürütmek istediği PolicyKit politikasını alabilirsiniz. Ubuntu'da politika varsayılan olarak gösterilir. Bu politikalar aranabilir. Yukarıdakilerden biri /usr/share/polkit-1/actions/org.kubuntu.qaptworker2.policy
ve belirtilen hizmetten geliyor /usr/share/dbus-1/system-services/org.kubuntu.qaptworker2.service
. Neyin ve kimin tarafından yönetildiğini görebilirsiniz. Ve bu hizmetler sadece root tarafından tekrar eklenebilir, eğer daha önce rootlanmadıysanız, muhtemelen bunlara güvenebilirsiniz.
PolicyKit bu kurallara ve hizmetlere sahiptir, böylece tüm işlemleri böyle yapmak zorunda kalmadan kök işlem olarak seçme eylemleri gerçekleştirilebilir. Yine de uyanık olmalısın. Açıkça koşuyorsanız gnome-calculator
ve bir bilgi org.freedesktop.policykit.exec
istemi ortaya çıkarsa , bir şey tehlikeli olabilir.
Şifreni girmeden önce araştırmaktan başka bir şey olmayabilir. Sonra çok geç.
Ve hepsi okunaklı olsa bile, kim zaten tüm şifrelerinizi çalan bir keylogger'in olmadığını söylüyor? Ya da geçersiz kılan bir şey $PATH
ya da içine itilmemiş ~/.bashrc
gibi görünmesini sağlayan, korkunç bir şey attı ? Yeterince konsantrasyonla, yukarıdaki tüm algılama prosedürlerini atlatacağınızdan eminim.
İyi uykular.
tripwire
bir dosyanın orijinalliğini kontrol etmeye yardımcı olabilir, ancak çok erken kurulmaları gerekir.