Das Triage auf kompromittierten Linux-Systemen beinhaltet die Prüfung verschiedener Aspekte, darunter Tools und Skripte zur Datenerfassung. In einem Fall installierte ein Angreifer einen LD_PRELOAD-Rootkit und setzte das unveränderliche Bit auf /etc/ld.so.preload, wodurch es schwierig war, Dateien mit dem unveränderlichen Bit mithilfe des find-Befehls zu finden. Ein Python-Skript wurde entwickelt, um Dateien mit dem unveränderlichen Bit zu identifizieren, optional rekursive Suchvorgänge durchzuführen und vollständige Pfade zurückzugeben. Dieses Skript ist auf GitHub verfügbar und kann bei der Suche nach Dateien mit dem unveränderlichen Bit helfen, was auf böswillige Aktivitäten hinweisen kann.
isc.sans.edu
New tool: immutable.py, (Sat, Jan 18th)
bsky.app
Hacker & Security News on Bluesky @hacker.at.thenote.app
Create attached notes ...