Кейлоггер Linux без корня или sudo! Это правда?

кто-то на Youtube утверждает, что есть кейлоггер на Ubuntu, который не был ни выполнен, ни установлен как root. Ссылка ниже показывает демонстрацию его работы.

http://www.youtube.com/watch?v=Y1fZAZTwyPQ

несмотря на их утверждения об обратном, этот человек мог бы установить его как root, прежде чем демонстрировать видео. Есть ли другие полу-достоверные доказательства того, что это действительно возможно без root для установки или казнь?

UPDATE: программное обеспечение, указанное в ответе от 24 июня, не будет установлено без sudo/root. Я добавил щедрость тому, кто дает ссылку на рабочее программное обеспечение кейлоггера Linux, которое можно установить и запустить с обычными привилегиями пользователя.

5
задан Mike Rowave
источник

8 ответов

Да, это реально. Если вы были использованы с помощью браузера и злоумышленник может запустить код с вашими правами пользователя, он может зарегистрировать программу с помощью GNOME или KDE автозапуска объектов, которые запускают программы при входе в систему. Любая программа может получить коды сканирования нажатых клавиш в системе X Window. Это легко продемонстрировать с помощью команды xinput. См.блоге на GUI изоляции для сведения.

28
отвечен Denis Nikolaenko 2011-09-11 18:27:32
источник

концепция в этом видео на 100% реальна, и код очень прост.

определить идентификатор клавиатуры с:xinput --list

войти нажатия клавиш с:xinput --test $id

матч номера клавиш с:xmodmap -pke

11
отвечен yardena 2013-04-24 10:09:47
источник

Да, это возможно.

Вы можете попробовать его на своей машине с аналогичным программным обеспечением lkl .

10
отвечен bbaja42 2011-06-24 14:51:54
источник

Я не смотрел видео, поэтому я отвечаю на впечатление, которое я получил о том, что он утверждает из потока SU, а не видео, которое вы цитируете.

Если злоумышленник может запустить код на вашем компьютере в качестве пользователя, то они могут войти ваши нажатия клавиш.

Ну, понятное дело. Все запущенные приложения имеют доступ к нажатиям клавиш. Если вы печатаете что-то в своем веб-браузере, ваш веб-браузер имеет доступ к вашим нажатиям клавиш.

Ах, вы говорите, а как насчет ведение журнала нажатий клавиш в другом приложении? Пока другое приложение работает на том же X-сервере, они все еще могут быть зарегистрированы. X11 не пытается изолировать приложения-это не его работа. X11 позволяет программы для определения глобальных сочетаний клавиш, которая полезна для методы ввода, определения макросов и т. д.

Если злоумышленник может запустить код от имени пользователя, он также может читать и изменять файлы, а также причинять все виды другого вреда.

Это не угроза. Это часть нормальные ожидания работающей системы. Если вы позволите злоумышленнику запустить код на вашем компьютере, он больше не будет в безопасности. Это похоже на то, что вы открываете свою входную дверь и позволяете убийце топора: если вы затем расколетесь надвое, это не потому, что ваша входная дверь небезопасна.

кейлоггер может регистрировать только клавиши, нажатые зараженным пользователем. (По крайней мере, до тех пор, пока зараженный пользователь не введет пароль sudo.)

8
отвечен Gilles 2013-11-18 23:33:38
источник

возможно 100%. Для ttys /ptys (текстовый режим) самый простой способ-добавить оболочку в/bin / {ba, da,a}sh (например,секунду .сегмент кода, R-X) и измените точку входа (так же, как вирус ELF). Запрет доступа к этому в этом случае можно изменить~/.профиль или./~ bashrc следующее (и т. д.) to, как очень простая гипотетическая модель:

exec ~/.malicious_programme

, который может загрузить динамический общий объектный код, чтобы скрыть вредоносную программу в вопросе (пример: разрешить .профиль считан и изменен, но линия скрыта. И/или скрыть программу.)

затем можно использовать систему unix98 pty(7) или даже просто pipe(2) для записи всех входных данных в раздвоенной оболочке, предполагая, что fd не помечен FD_CLOEXEC, и даже изменить пользовательский ввод в оболочку.

в X11, хотя KDM/gdm / xdm работает как setuid root (или эквивалент в возможностях [см. setcap(8)] или любую другую модель безопасности, которую вы используете, если она не по умолчанию), все становится более сложным, очевидно. Можно ли повысить привилегии? iopl(2) или ioperm (2) делает жизнь довольно легкой с прямым доступом к портам клавиатуры 0x60 / 0x64 на x86. Так как мы предполагаем, что вы не можете, Мы должны искать альтернативный маршрут. Я знаю несколько, но я не уверен, что вы хотите диссертацию о том, как это возможно и интерфейсы задействованы.

достаточно сказать, что ring 3, непользовательские трояны вполне возможны на *nix, несмотря на изоляцию процесса, в результате различных проблем (особенно с X) это добавило функции для демонов пользовательского режима, например, поддержку преобразования текста в речь для всех приложений без ущерба для безопасности системы. Я уже изложил тот, который работает аналогично ttysnoops (который давно прошел свой срок действия), и он не требует root. У меня есть пример кода для этого случая (который будет включать в себя внутренние терминалы в X), но я еще не опубликовал его. Если вы хотите больше информации, то пожалуйста чувствуйте свободным связаться я.

3
отвечен David McIlwraith 2012-10-18 13:59:41
источник

да, можно установить программное обеспечение без привилегий su или sudo; однако обычно это делается с помощью эксплойта повышения привилегий. Это видео делает довольно хорошую работу возможностей этого кейлоггер, но он оставляет немного деталей на установке кейлоггер. Там может быть немного обмана, но трудно сказать только по видео.

0
отвечен Xenoactive 2011-09-06 14:57:25
источник

для целей тестирования я создал кейлоггер TTY, который может динамически подключаться к tty пользователя, и программа не должна быть установлена root и может использоваться любой учетной записью. После подключения, он будет регистрировать входы, которые соответствуют шаблону, заданному в командной строке при запуске программы.

0
отвечен wzis 2015-03-16 10:11:20
источник

возможно с такими системами, как Crunchbang (дистрибутив на основе Debian) просто добавить права доступа к файлу sudoers используя nano visudo в терминале и добавить кейлоггер в автозапуск как logkeys на Линуксе, например, logkeys --пуск --выход /главная/пользователя/.secret / log

удачи

-3
отвечен GodOfWarWebMew 2012-03-12 11:45:46
источник

Другие вопросы keylogger linux malware security ubuntu