---

hva betyder denne kommando:
PROMPT_COMMAND='pwd>&6;kill -STOP $$'

- den er på en eller anden måde kommet i min bash_history...


--
|-|$235-|)k - Mickey - Eko sum lapis
Advarsel :
Dette indlæg er koncentreret kommunikation.
Tilsæt diplomatiske vendinger i passende mængde.

---

"Mickey" <news002@susie.dk> writes:

> hva betyder denne kommando:
> PROMPT_COMMAND='pwd>&6;kill -STOP $$'

Ser ud som det rene og skære vrøvl, men det er ikke en kommando
det er en variabel tildeling (sæt PROMPT_COMMAND til værdien i '').
Men det inde i pingerne er en kommando, som ligner vrøvl.

PROMPT_COMMAND er en bash intern variabel:

`PROMPT_COMMAND'
If set, the value is interpreted as a command to execute before
the printing of each primary prompt (`$PS1').

pwd >&6 - find aktuelt directory og send det til fildescriptor 6. Denne
er ikke umidelbart sat til noget - så det ligner støj.
kill - STOP $$ - send STOP signalet til shell'en. Dette vil suspende
shell'en. [reelt få den til at dø (DoS - Denial of Service)].


Håber der er en eller anden, der kan forklare mere.... [men basalt set lad
være med at prøve denne - den stopper din shell.]

--
Mvh. Kim Petersen /| Tlf: +4575831551 |\ Jomfru Ingefreds Vej 18
Software Engineer / | Fax: (none atm.) | \ 7100 Vejle
LSS / | Email: kim@vindinggaard.dk | \ DK - Danmark

---

Kim Petersen wrote:

> "Mickey" <news002@susie.dk> writes:
>
>> hva betyder denne kommando:
>> PROMPT_COMMAND='pwd>&6;kill -STOP $$'
>
> Ser ud som det rene og skære vrøvl, men det er ikke en kommando
> det er en variabel tildeling (sæt PROMPT_COMMAND til værdien i '').
> Men det inde i pingerne er en kommando, som ligner vrøvl.
>
> PROMPT_COMMAND er en bash intern variabel:
>
> `PROMPT_COMMAND'
> If set, the value is interpreted as a command to execute before
> the printing of each primary prompt (`$PS1').
>
> pwd >&6 - find aktuelt directory og send det til fildescriptor 6. Denne
> er ikke umidelbart sat til noget - så det ligner støj.
> kill - STOP $$ - send STOP signalet til shell'en. Dette vil suspende
> shell'en. [reelt få den til at dø (DoS - Denial of Service)].

En mulig forklaring er, at kommandoen stammer fra en remote sub-shell,
som man har ønsket at stoppe automatisk, når den vendte tilbage til
kommando-prompten. Subshellen er blevet fodret med sine kommandoer
via standard input.

Filedescriptor 6 kan så være arvet fra forældre-shellen, som så læser
outputet fra pwd kommandoen.

-Claus

---

"Claus Rasmussen" <clr@cc-consult.dk> skrev i en meddelelse
news:3bd0b60d$0$11603

> En mulig forklaring er, at kommandoen stammer fra en remote sub-shell,
> som man har ønsket at stoppe automatisk, når den vendte tilbage til
> kommando-prompten. Subshellen er blevet fodret med sine kommandoer
> via standard input.
>
> Filedescriptor 6 kan så være arvet fra forældre-shellen, som så læser
> outputet fra pwd kommandoen.

altså en kommando der er blevet "dræbt" fordi den er færdig med det den skal
udføre ?

- undrede mig bare over at den var kommet i min bash_history...


--
|-|$235-|)k - Mickey - Eko sum lapis
Advarsel :
Dette indlæg er koncentreret kommunikation.
Tilsæt diplomatiske vendinger i passende mængde.

---

Mickey wrote:

> altså en kommando der er blevet "dræbt" fordi den er færdig med det den
> skal udføre ?

Det er en teori, ja.


> - undrede mig bare over at den var kommet i min bash_history...

Kig lidt tilbage i history filen. Måske kan du se, hvad der kom før. Måske
er du blevet cracket ...og siden du kører i root's gruppe vil det være
ensbetydende med en reinstallation.... >:->

-Claus

---

"Claus Rasmussen" <clr@cc-consult.dk> skrev i en meddelelse
news:3bd12bec$0$26985

> Kig lidt tilbage i history filen. Måske kan du se, hvad der kom før. Måske
> er du blevet cracket ...og siden du kører i root's gruppe vil det være
> ensbetydende med en reinstallation.... >:->

hmm, nedtur...


--
|-|$235-|)k - Mickey - Eko sum lapis
Advarsel :
Dette indlæg er koncentreret kommunikation.
Tilsæt diplomatiske vendinger i passende mængde.

---

Mickey wrote:

> "Claus Rasmussen" <clr@cc-consult.dk> skrev i en meddelelse
> news:3bd12bec$0$26985
>
>> Kig lidt tilbage i history filen. Måske kan du se, hvad der kom før.
>> Måske er du blevet cracket ...og siden du kører i root's gruppe vil det
>> være ensbetydende med en reinstallation.... >:->
>
> hmm, nedtur...

he, he... Men det kan jo også bare være, at du har kørt et shell-arkiv
eller noget lignende. Har du kigget i history filen ?

-Claus

---

"Claus Rasmussen" <clr@cc-consult.dk> skrev i en meddelelse
news:3bd25794$0$26979

> > hmm, nedtur...
>
> he, he... Men det kan jo også bare være, at du har kørt et shell-arkiv
> eller noget lignende. Har du kigget i history filen ?

ja, jeg har startet en download i baggrunden og så exittet. Så kommer den
famøse linie og så kommer der nogle cd-kommandoer som jeg udførte ved næste
logon. Jeg er i tvivl om hvorvidt downloadet er afsluttet på det tidspunkt


--
|-|$235-|)k - Mickey - Eko sum lapis
Advarsel :
Dette indlæg er koncentreret kommunikation.
Tilsæt diplomatiske vendinger i passende mængde.

---

"Mickey" <news002@susie.dk> writes:

> "Claus Rasmussen" <clr@cc-consult.dk> skrev i en meddelelse
> news:3bd25794$0$26979
>
> > > hmm, nedtur...
> >
> > he, he... Men det kan jo også bare være, at du har kørt et shell-arkiv
> > eller noget lignende. Har du kigget i history filen ?
>
> ja, jeg har startet en download i baggrunden og så exittet. Så kommer den
> famøse linie og så kommer der nogle cd-kommandoer som jeg udførte ved næste
> logon. Jeg er i tvivl om hvorvidt downloadet er afsluttet på det tidspunkt

Altså, folkens: 10 sekunder med google og jeg var fremme ved en stribe
posts der kraftigt antyder at det er Midnight Commander der er mester
for den konstruktion. Auf Deutch godtnok, men alligevel...


From: Peter Kobel (pkobel4599@stulpi.s.netic.de)
Subject: Re: Command history
Newsgroups: de.comp.os.unix.linux.misc
Date: 1999/11/09


On 08 Nov 1999 DELETE.THIS.hjz@Zierke.com (Hans-Joachim Zierke) wrote:

>
> In der Command history der bash finde ich
>
> PROMPT_COMMAND='pwd>&6;kill -STOP $$'
>

Gib auf der Kommandozeile des mc mal echo $PROMPT_COMMAND ein!



--
O__ ---- Peter Dalgaard Blegdamsvej 3
c/ /'_ --- Dept. of Biostatistics 2200 Cph. N
(*) \(*) -- University of Copenhagen Denmark Ph: (+45) 35327918
~~~~~~~~~~ - (p.dalgaard@biostat.ku.dk) FAX: (+45) 35327907

---

"Peter Dalgaard BSA" <p.dalgaard@biostat.ku.dk> skrev i en meddelelse

> Altså, folkens: 10 sekunder med google og jeg var fremme ved en stribe
> posts der kraftigt antyder at det er Midnight Commander der er mester
> for den konstruktion. Auf Deutch godtnok, men alligevel...

nu er jeg ikke så god til tysk, men betyder det at mc har lavet den kommando
? ;)


--
|-|$235-|)k - Mickey - Eko sum lapis
Advarsel :
Dette indlæg er koncentreret kommunikation.
Tilsæt diplomatiske vendinger i passende mængde.

---

Peter Dalgaard BSA <p.dalgaard@biostat.ku.dk> writes:

> "Mickey" <news002@susie.dk> writes:
>
> > "Claus Rasmussen" <clr@cc-consult.dk> skrev i en meddelelse
> > news:3bd25794$0$26979
> >
> > > > hmm, nedtur...
> > >
> > > he, he... Men det kan jo også bare være, at du har kørt et shell-arkiv
> > > eller noget lignende. Har du kigget i history filen ?
> >
> > ja, jeg har startet en download i baggrunden og så exittet. Så kommer den
> > famøse linie og så kommer der nogle cd-kommandoer som jeg udførte ved næste
> > logon. Jeg er i tvivl om hvorvidt downloadet er afsluttet på det tidspunkt
>
> Altså, folkens: 10 sekunder med google og jeg var fremme ved en stribe
> posts der kraftigt antyder at det er Midnight Commander der er mester
> for den konstruktion. Auf Deutch godtnok, men alligevel...

Verificeret.

# strings /usr/bin/mc | grep PROMPT_COMMAND

finder dette:

PROMPT_COMMAND='pwd>&%d;kill -STOP $$'

--
Mvh. Kim Petersen /| Tlf: +4575831551 |\ Jomfru Ingefreds Vej 18
Software Engineer / | Fax: (none atm.) | \ 7100 Vejle
LSS / | Email: kim@vindinggaard.dk | \ DK - Danmark

---

"Claus Rasmussen" <clr@cc-consult.dk> skrev i en meddelelse
news:3bd12bec$0$26985

> Kig lidt tilbage i history filen. Måske kan du se, hvad der kom før. Måske
> er du blevet cracket ...og siden du kører i root's gruppe vil det være
> ensbetydende med en reinstallation.... >:->

men øh, hvorfor egentlig en reinstallation ?


--
|-|$235-|)k - Mickey - Eko sum lapis
Advarsel :
Dette indlæg er koncentreret kommunikation.
Tilsæt diplomatiske vendinger i passende mængde.

---

On Sat, 20 Oct 2001 15:44:52 +0200, news002 wrote:

> men øh, hvorfor egentlig en reinstallation ?

Måske fordi det er hurtigere end at checke samtlige filer og scripts
for gemte trojan horses og lignende?


Mvh.

--
"Verkligheten är ett känt mysterium" Adam Sjøgren
asjo@koldfront.dk

---

Den Sat, 20 Oct 2001 15:57:37 +0200 skrev Adam Sjøgren:
>On Sat, 20 Oct 2001 15:44:52 +0200, news002 wrote:
>
>> men øh, hvorfor egentlig en reinstallation ?
>
>Måske fordi det er hurtigere end at checke samtlige filer og scripts
>for gemte trojan horses og lignende?

rpm -V -a

Mvh
Kent
--
War does not determine who is right, only who is left.

---

kfr@fleggaard.dk (Kent Friis) writes:

> rpm -V -a

Jeg har aldrig brugt rpm, men jeg går ud fra at dette er kommandoen
til at verificerer at alle filer svare til da de blev installeret.

Man tror du ikke bare crakeren downloader en backdoors.rpm og
installerer den? Vil du fange det på ovenstående måde?

Hvordan har du iøvrigt sikret dig at vores cracker ikke har pillet
lige så meget i rpm's database som i resten af systemet. Eller bare i
rpm-programmet for den sags skyld.


Ovenstående komando er noget nær værdiløs hvis den ikke blive udført
fra et fysisk read-only medie hvorpå både program og database befinder
sig.

--
Når folk spørger mig, om jeg er nørd, bliver jeg altid ilde til mode
og svarer lidt undskyldende: "Nej, jeg bruger RedHat".
-- Allan Olesen på dk.edb.system.unix

---

Den Sat, 20 Oct 2001 16:40:10 +0200 skrev Peter Makholm:
>kfr@fleggaard.dk (Kent Friis) writes:
>
>> rpm -V -a
>
>Jeg har aldrig brugt rpm, men jeg går ud fra at dette er kommandoen
>til at verificerer at alle filer svare til da de blev installeret.
>
>Man tror du ikke bare crakeren downloader en backdoors.rpm og
>installerer den? Vil du fange det på ovenstående måde?
>
>Hvordan har du iøvrigt sikret dig at vores cracker ikke har pillet
>lige så meget i rpm's database som i resten af systemet. Eller bare i
>rpm-programmet for den sags skyld.
>
>
>Ovenstående komando er noget nær værdiløs hvis den ikke blive udført
>fra et fysisk read-only medie hvorpå både program og database befinder
>sig.

cd /cdrom/suse
rpm -V -p */*.rpm | grep -v missing



Mvh
Kent
--
War does not determine who is right, only who is left.

---

kfr@fleggaard.dk (Kent Friis) writes:

> cd /cdrom/suse
> rpm -V -p */*.rpm | grep -v missing

Det var databasen, sålænge du ikke har instaleret
sikkerhedsopdateringer. Kan jeg gå ud fra at rpm også ligger
tilgængeligt på cd'en?

--
Når folk spørger mig, om jeg er nørd, bliver jeg altid ilde til mode
og svarer lidt undskyldende: "Nej, jeg bruger RedHat".
-- Allan Olesen på dk.edb.system.unix

---

Den Sat, 20 Oct 2001 18:05:38 +0200 skrev Peter Makholm:
>kfr@fleggaard.dk (Kent Friis) writes:
>
>> cd /cdrom/suse
>> rpm -V -p */*.rpm | grep -v missing
>
>Det var databasen, sålænge du ikke har instaleret
>sikkerhedsopdateringer.

Den fortæller kun hvilke filer den er gal med, dem må man så selv finde
ud af om man selv har ændret...

>Kan jeg gå ud fra at rpm også ligger tilgængeligt på cd'en?

Jeps.

Ellers kunne man nemlig ikke installere på en blank HD

Mvh
Kent
--
War does not determine who is right, only who is left.

---

kfr@fleggaard.dk (Kent Friis) wrote:

>Jeps.

....men det var vel at mærke ikke den, du brugte i dit eksempel.


--
Allan Olesen, Lunderskov

"UNIX er overflødigt." - Lars P. Fischer

---

kfr@fleggaard.dk (Kent Friis) writes:

> Ellers kunne man nemlig ikke installere på en blank HD

Sagtens. Indtil for nyligt foregik instalationen af debians basesystem
fra en tar.gz-pakke. Nu (woody) bruges vist nok en meget begrænset
udgave af dpkg specielt lavet til installationsbootdisken.

--
Når folk spørger mig, om jeg er nørd, bliver jeg altid ilde til mode
og svarer lidt undskyldende: "Nej, jeg bruger RedHat".
-- Allan Olesen på dk.edb.system.unix

---

Den Sat, 20 Oct 2001 18:16:50 +0200 skrev Peter Makholm:
>kfr@fleggaard.dk (Kent Friis) writes:
>
>> Ellers kunne man nemlig ikke installere på en blank HD
>
>Sagtens. Indtil for nyligt foregik instalationen af debians basesystem
>fra en tar.gz-pakke. Nu (woody) bruges vist nok en meget begrænset
>udgave af dpkg specielt lavet til installationsbootdisken.

Det system virker ikke til at installere aaa_base.rpm

Mvh
Kent
--
War does not determine who is right, only who is left.

---

kfr@fleggaard.dk (Kent Friis) writes:

> cd /cdrom/suse

cdrom driveren kan være ændret.

> rpm -V -p */*.rpm | grep -v missing

rpm kan være ændret.

Hvis du kan boote fra en cd og starte Linux uden på nogen måde at røre
eller aktivere nogen data det ligger på harddisken, vil det være en
mulighed.

---

Den Sun, 21 Oct 2001 12:01:43 +0200 skrev Per Abrahamsen:
>kfr@fleggaard.dk (Kent Friis) writes:
>
>> cd /cdrom/suse
>
>cdrom driveren kan være ændret.
>
>> rpm -V -p */*.rpm | grep -v missing
>
>rpm kan være ændret.
>
>Hvis du kan boote fra en cd og starte Linux uden på nogen måde at røre
>eller aktivere nogen data det ligger på harddisken, vil det være en
>mulighed.

Det kan jeg.

Mvh
Kent
--
War does not determine who is right, only who is left.