Giorno
sulla mia slackware ho trovato un rootkit...shv4 tramite rkhunter.
usr/bin/ps [ BAD ]
/usr/bin/pstree [ BAD ]
etc
ma è possibile eliminarlo o devo reinstallare???
Giorno
sulla mia slackware ho trovato un rootkit...shv4 tramite rkhunter.
usr/bin/ps [ BAD ]
/usr/bin/pstree [ BAD ]
etc
ma è possibile eliminarlo o devo reinstallare???
"L'unica differenza tra me e un pazzo è che io non sono pazzo!"(Salvador)
Non saprei...
provare a reinstallare il pacchetto che contiene i due comandi?
ciao.
Slack? Smack!
Assicurati che non sia un falso positivo prima di tutto (anzi, speriamo che lo sia...)Originariamente inviato da chrimai
sulla mia slackware ho trovato un rootkit...shv4 tramite rkhunter.
usr/bin/ps [ BAD ]
/usr/bin/pstree [ BAD ]
etc
ma è possibile eliminarlo o devo reinstallare???
Se invece c'e` veramente un rootkit su quella macchina la via e` reinstallare, le macchine compromesse sono intrinsecamente inaffidabili. Certo, sarebbe molto utile anche capire da dove sono entrati e cosa hanno fatto...
"Qualsiasi esperto ha paura di combattere usando la katana vera. Anch'io. Ma non ignoro la mia paura, riesco ad accettarla, e a metterla da parte accanto a me".
hanno usato un exploit per phpbb....sto leggendo un po' in giro ma niente....mi sa che reinstallo...uff
"L'unica differenza tra me e un pazzo è che io non sono pazzo!"(Salvador)
Perdonate la mia ignoranza, ma di cosa si tratta?Originariamente inviato da Ikitt
Assicurati che non sia un falso positivo prima di tutto (anzi, speriamo che lo sia...)
In effetti, e' corretto ripristinare da zero il sistema e rivedere le modalità di protezione dello stesso.
Se invece c'e` veramente un rootkit su quella macchina la via e` reinstallare, le macchine compromesse sono intrinsecamente inaffidabili. Certo, sarebbe molto utile anche capire da dove sono entrati e cosa hanno fatto...
ciao
Slack? Smack!
diciamo che è colpa mia....ho installato una versione vecchia di phpbb per fare alcune prove....
comunque si reinstalla
scaricando il rootkit in questione ho visto anche i file che va a sostituire.....ad esempio il /bin/ps
/sbin/ifconfig ed altri....
#lsattr /sbin/ifconfig
suS-iadAc---- /sbin/ifconfig
ma volendo sostituirli tutti?
reinstallerò comunque...ma solo per curiosità
pareri?
"L'unica differenza tra me e un pazzo è che io non sono pazzo!"(Salvador)
Un falso positivo, genericamente, si ha quando una prima analisi induce a dire "X e` vero", ed una successiva e piu` accurata dimostra invece il contrario.Originariamente inviato da Sergio Pedone
Perdonate la mia ignoranza, ma di cosa si tratta?
Nel caso specifico, la ricerca di rootkit non e` una scienza esatta, anzi, c'e` una certa componente di "tiro a indovinare" se non altro perche` un rootkit ben fatto ha tra le sue caratteristiche principali la capacita`, appunto, di non farsi scoprire.
Da quel che ne so, strumenti come chkrootkit e rkhunter analizzano una serie di indizi nel sistema, e sommandoli assieme, decidono se un dato binario -e quindi un dato sistema- e` infettato o meno.
Ad esempio, la presenza di stringhe quali (sto inventando)
"h4x0rZ 3l1t3 gR0uP w4z h3r3" in binari critici quali init o ps lascia pochi dubbi al caso, ma sono riportati casi in cui configurazioni "particolari", tipo processi che non comparivano in ps ma solo in /proc oppure interfacce di rete in modalita` promiscua erano perfettamente lecite: il tool diceva "sistema potenzialmente compromesso" ma il sistema invece era sano: falsi positivi, per chiudere il cerchio.
Per questo dicevo di fare altri controlli
Il tutto IMHO, AFAIK e IIRC ovviamente.
"Qualsiasi esperto ha paura di combattere usando la katana vera. Anch'io. Ma non ignoro la mia paura, riesco ad accettarla, e a metterla da parte accanto a me".
Beh, volendo sostituirli tutti si fa un passo avanti verso un sistema piu` sano, ma non c'e` alcuna garanzia che l'attaccante abbia modificato il kernel, lasciato backdoor o altre piacevolezze. E` proprio per motivi come questi che si consiglia di reinstallare tutto.Originariamente inviato da chrimai
scaricando il rootkit in questione ho visto anche i file che va a sostituire.....ad esempio il /bin/ps
/sbin/ifconfig ed altri....
#lsattr /sbin/ifconfig
suS-iadAc---- /sbin/ifconfig
ma volendo sostituirli tutti?
Se vuoi, o devi, fare un'analisi post-mortem del sistema, ti conviene salvarti un'immagine del disco del sistema compromesso, magari con dd, per effettuare tutte le prove del caso.
ATTENZIONE
Sebbene il discorso rootkit mi interessi e cerchi di documentarmi piu` che posso, non ho (per fortuna) esperienza diretta con casi di penetrazione; prendi per tanto le mie parole con le dovute molle e sopratutto non mancare di farmi notare i miei errori qualora tu ne trovi
[edit] migliorata la forma [/edit]
"Qualsiasi esperto ha paura di combattere usando la katana vera. Anch'io. Ma non ignoro la mia paura, riesco ad accettarla, e a metterla da parte accanto a me".
Io ho letto, non ricordo dove, che i rootkit non sono "sommabili" ovvero se ne può mettere uno solo.
Alcuni admin li installano quindi e li tengono sottocontrollo per evitare che ne vengano installati sul sitema da terzi.
VVoVe:
Confermate questa info?
Piu' gente conosco e piu' apprezzo il mio cane (Socrate)
Mi pare estremamente strano Sicuro di avere capito bene?Originariamente inviato da HarravanS
Io ho letto, non ricordo dove, che i rootkit non sono "sommabili" ovvero se ne può mettere uno solo.
Alcuni admin li installano quindi e li tengono sottocontrollo per evitare che ne vengano installati sul sitema da terzi.
VVoVe:
Confermate questa info?