„Van annak értelme, hogy root joga van már, de mégis a feltört user nevében futtatja a programot, hogy könnyebb legyen megtalálnom?”

Van, így nem tudod, hogy van-e root joga. 😉
Ill. az auth.log-ban talán, de ha profival van dolgod  törölte a sort! 🙂

Na most mondom el utoljára. A rootkitnek nem kell root jog és amikor már fut, factudja milyen néven, akkor már a root is csak egy jancsi a rendszereden. +bachatsz minden korlátozást ha a rendszereden tátongnak a biztonsági rések, nem kell adnod semmilyen daemon jogot, meg a facom tudja miket hordatok itt össze. Ha futott baj van, meg kell tudni, hogy hol van a rés, és utána meglesz minden egyéb.

Ubuntu 7.10-es gépet törtek fel. Letöltöttem egy ubuntu 8.04-esre, és ott tűzfal mögött elindítottam egy mezei user nevében ugyanazt a syslogd névre keresztelt irc klienst, ami az éles szerveren is futott. Ha kiléptem a userrel, ott is tovább futott a program.
Ez azt jelenti, hogy még ennek a kernelében is benne van a biztonsági rés?
Ez akkor egy még nem publikált és nem javított biztonsági rés?
Hogyan találhatom meg? chkrootkit nem talált semmit. Mivel próbálkozzam? Van esélyem?