<p dir="ltr"></p>
<p dir="ltr">On Oct 25, 2016 06:42, "teroz" <<a href="mailto:terence.namusonge@gmail.com">terence.namusonge@gmail.com</a>> wrote:<br>
><br>
> Hey William<br>
> exploit is run as a normal user and privilege escalates to a root shell<br>
></p>
<p dir="ltr">Look under the covers. Dirty cow allows arbitrary file modification, so somewhere it's likely executing some setuid root thing that it modifies. Take a peak with strace.</p>
<p dir="ltr"><a href="https://www.google.com/amp/www.theregister.co.uk/AMP/2016/10/21/linux_privilege_escalation_hole/">https://www.google.com/amp/www.theregister.co.uk/AMP/2016/10/21/linux_privilege_escalation_hole/</a><br><br></p>
<p dir="ltr">> On Tue, 25 Oct 2016 at 15:09 William Roberts <<a href="mailto:bill.c.roberts@gmail.com">bill.c.roberts@gmail.com</a>> wrote:<br>
>><br>
>> On Oct 25, 2016 05:12, "teroz" <<a href="mailto:terence.namusonge@gmail.com">terence.namusonge@gmail.com</a>> wrote:<br>
>> ><br>
>> > I used one of the dirtycow root exploits on Fedora24 configured with 30-pci-dss-v31.rules. I was expecting an ANOM_ROOT_TRANS record but didn't get one. What triggers an ANOM_ROOT_TRANS record? What then is the best way to trivially audit for a successful privilege escalation?<br>
>> ><br>
>><br>
>> I would imagine that if it's hijacking an already root or setuid binary, you won't see anything. As far as that record goes, I have no idea, I'll let an auditing expert answer that question.<br>
>> ><br>
>> ><br>
>> ><br>
>><br>
>><br>
>> ><br>
>> > --<br>
>> > Linux-audit mailing list<br>
>> > <a href="mailto:Linux-audit@redhat.com">Linux-audit@redhat.com</a><br>
>> > <a href="https://www.redhat.com/mailman/listinfo/linux-audit">https://www.redhat.com/mailman/listinfo/linux-audit</a><br></p>