PDA

Visualizza la versione completa : rootkit


chrimai
08-12-2004, 18:56
Giorno
sulla mia slackware ho trovato un rootkit...shv4 tramite rkhunter.
usr/bin/ps [ BAD ]
/usr/bin/pstree [ BAD ]
etc
ma è possibile eliminarlo o devo reinstallare???

Sergio Pedone
08-12-2004, 18:58
Non saprei...
provare a reinstallare il pacchetto che contiene i due comandi?

ciao.

Ikitt
08-12-2004, 19:12
Originariamente inviato da chrimai
sulla mia slackware ho trovato un rootkit...shv4 tramite rkhunter.
usr/bin/ps [ BAD ]
/usr/bin/pstree [ BAD ]
etc
ma è possibile eliminarlo o devo reinstallare???

Assicurati che non sia un falso positivo prima di tutto (anzi, speriamo che lo sia...)
Se invece c'e` veramente un rootkit su quella macchina la via e` reinstallare, le macchine compromesse sono intrinsecamente inaffidabili. Certo, sarebbe molto utile anche capire da dove sono entrati e cosa hanno fatto...

chrimai
08-12-2004, 19:15
hanno usato un exploit per phpbb....sto leggendo un po' in giro ma niente....mi sa che reinstallo...uff :dhò: :nonlodire

Sergio Pedone
08-12-2004, 19:39
Originariamente inviato da Ikitt
Assicurati che non sia un falso positivo prima di tutto (anzi, speriamo che lo sia...)

Perdonate la mia ignoranza, ma di cosa si tratta?


Se invece c'e` veramente un rootkit su quella macchina la via e` reinstallare, le macchine compromesse sono intrinsecamente inaffidabili. Certo, sarebbe molto utile anche capire da dove sono entrati e cosa hanno fatto...
In effetti, e' corretto ripristinare da zero il sistema e rivedere le modalità di protezione dello stesso.

ciao

chrimai
08-12-2004, 19:46
diciamo che è colpa mia....ho installato una versione vecchia di phpbb per fare alcune prove....
comunque si reinstalla :)
scaricando il rootkit in questione ho visto anche i file che va a sostituire.....ad esempio il /bin/ps
/sbin/ifconfig ed altri....
#lsattr /sbin/ifconfig
suS-iadAc---- /sbin/ifconfig

ma volendo sostituirli tutti?
reinstallerò comunque...ma solo per curiosità
pareri?

Ikitt
08-12-2004, 19:57
Originariamente inviato da Sergio Pedone
Perdonate la mia ignoranza, ma di cosa si tratta?
Un falso positivo, genericamente, si ha quando una prima analisi induce a dire "X e` vero", ed una successiva e piu` accurata dimostra invece il contrario.
Nel caso specifico, la ricerca di rootkit non e` una scienza esatta, anzi, c'e` una certa componente di "tiro a indovinare" se non altro perche` un rootkit ben fatto ha tra le sue caratteristiche principali la capacita`, appunto, di non farsi scoprire.
Da quel che ne so, strumenti come chkrootkit e rkhunter analizzano una serie di indizi nel sistema, e sommandoli assieme, decidono se un dato binario -e quindi un dato sistema- e` infettato o meno.
Ad esempio, la presenza di stringhe quali (sto inventando)
"h4x0rZ 3l1t3 gR0uP w4z h3r3" in binari critici quali init o ps lascia pochi dubbi al caso, ma sono riportati casi in cui configurazioni "particolari", tipo processi che non comparivano in ps ma solo in /proc oppure interfacce di rete in modalita` promiscua erano perfettamente lecite: il tool diceva "sistema potenzialmente compromesso" ma il sistema invece era sano: falsi positivi, per chiudere il cerchio.

Per questo dicevo di fare altri controlli :)

Il tutto IMHO, AFAIK e IIRC ovviamente.

Ikitt
08-12-2004, 20:00
Originariamente inviato da chrimai
scaricando il rootkit in questione ho visto anche i file che va a sostituire.....ad esempio il /bin/ps
/sbin/ifconfig ed altri....
#lsattr /sbin/ifconfig
suS-iadAc---- /sbin/ifconfig
ma volendo sostituirli tutti?

Beh, volendo sostituirli tutti si fa un passo avanti verso un sistema piu` sano, ma non c'e` alcuna garanzia che l'attaccante abbia modificato il kernel, lasciato backdoor o altre piacevolezze. E` proprio per motivi come questi che si consiglia di reinstallare tutto.

Se vuoi, o devi, fare un'analisi post-mortem del sistema, ti conviene salvarti un'immagine del disco del sistema compromesso, magari con dd, per effettuare tutte le prove del caso.

ATTENZIONE
Sebbene il discorso rootkit mi interessi e cerchi di documentarmi piu` che posso, non ho (per fortuna) esperienza diretta con casi di penetrazione; prendi per tanto le mie parole con le dovute molle e sopratutto non mancare di farmi notare i miei errori qualora tu ne trovi :)

migliorata la forma

HarravanS
08-12-2004, 20:39
Io ho letto, non ricordo dove, che i rootkit non sono "sommabili" ovvero se ne può mettere uno solo.
Alcuni admin li installano quindi e li tengono sottocontrollo per evitare che ne vengano installati sul sitema da terzi.
:oVVoVe:
Confermate questa info?

Ilmalcom
08-12-2004, 20:39
Originariamente inviato da HarravanS
Io ho letto, non ricordo dove, che i rootkit non sono "sommabili" ovvero se ne può mettere uno solo.
Alcuni admin li installano quindi e li tengono sottocontrollo per evitare che ne vengano installati sul sitema da terzi.
:oVVoVe:
Confermate questa info?
Mi pare estremamente strano :fagiano: Sicuro di avere capito bene?

Loading