Se alguém digitar o prompt do shell (explorando um shellcode externo e assumindo o controle do sistema antes de executar um exploit), o Ubuntu registrará mensagens em /var/log/lastlog , /var/log/wtmp , /var/log/kern.log , /var/log/syslog ou o que mais? Em caso afirmativo, como é a mensagem de log? Eu sei que apenas segfault (se o core dumping) como essa mensagem em /var/log/kern.log e /var/log/syslog :
Jan 10 11:30:02 ubuntu kernel: [10980.811200] bo1[15439]: segfault at 0 ip 001a7210 sp bfbac640 error 4 in ibc-2.11.1.so[134000+153000]
Ou não e estamos condenados?
Não existe uma maneira genérica de detectar ataques de código de shell e, conseqüentemente, nenhum padrão de entrada de log canônico para eles. Se isso fosse possível, esse tipo de ataque não representaria perigo, pois os sistemas de detecção de intrusão poderiam detectá-los e frustrá-los com segurança.