ManTrap 隐藏的进程可被查看发布时间:2000-11-07 更新时间:2000-11-07 严重程度:中 威胁程度:其它 错误类型:设计错误 利用方式:服务器模式 受影响系统 Recourse Technologies ManTrap 1.6.1详细描述 ManTrap是一个"honeypot"入侵检测系统用来分析攻击的程序,这个程序在 Solaris 环境中以chroot的方法实现,设计用来查看和感觉攻击者是否在访问 系统,为了保证引诱黑客不让他们知道有这个检测程序,所以必须隐藏部分 进程,其中一个方法是通过内核模块来防止在/proc中产生相应条目,但是通过 从内核内存到/proc的内容的对比来知道进程。 kill()系统调用没有读取/proc的内容,所以攻击者可以通过写一程序发送到SIGCONT 来增加进程ID来验证合法的ID,而合法的PID如果不在/proc中就为隐藏进程。 测试代码 可以下载如下的测试代码: http://www.securityfocus.com/data/vulnerabilities/exploits/mantrap.c 解决方案 尚无 相关信息 |
