rootkit Showtree?? (diskuse)

AbcLinuxu:/ Blogy / Bleabr / rootkit Showtree?? / rootkit Showtree?? (diskuse)

Štítky: antiviry, bezpečnost, ClamAV, DEB, Debian, distribuce, dpkg, instalace, KDE, RPM, udev, urpmi, Windows

Nástroje: Začni sledovat (1) ?

5.10.2006 02:53 Tomáš Honzák | skóre: 19 | Praha
Rozbalit Rozbalit vše Re: rootkit Showtree??

Odpovědět | Sbalit | Link | Blokovat | Admin

Zdravím,

aniž bych měl se zmiňovanými rootkity jakékoliv zkušenosti, myslím, že nejjednodušší cesta, jak si udělat obrázek o skutečném stavu, je podívat se, odkud se ty podezřelé soubory v systému vzaly, a to nejlépe pomocí balíčkovacího systému.

Nepíšete, co máte za distribuci, ale v podstatě každý balíčkovací systém má nějaké prostředky pro audit balíčků -- konkrétně mám teď na mysli zjišťování, k jakému balíčku soubor patří, a kontrola souboru pomocí md5 sum. Nebo ty balíčky rovnou přeinstalujte z čístých rpm, deb nebo cotopoužíváte :-)

Pokud ty soubory nepatří k žádnému z nainstalovaných balíčků, (a neinstaloval jste něco "ručně" do nepatřičných míst) je dost možné, že skutečně máte problém :-)

PS: není tohle spíš otázka do diskuse než do blogu?

Quork!

5.10.2006 07:30 rastos | skóre: 63 | blog: rastos
Rozbalit Rozbalit vše Re: rootkit Showtree??

A kontrolovať súbory systémom, na ktorom je možno nainštalovaný rootkit, je akosi ... bez výpovednej lehoty.

5.10.2006 08:26 Marián André | skóre: 10 | blog: Qblog
Rozbalit Rozbalit vše Re: rootkit Showtree??

Vy ste nejaký suterén s tými cudzími termitmi. :)

O mne.

5.10.2006 09:37 xvasek | skóre: 21 | blog: | Zlín
Rozbalit Rozbalit vše Re: rootkit Showtree??

Ne tak úplně. Lze zpravidla dokázat, že tam rootkit je, ale naopak nelze dokázat, že tam není.

Jinak k otázce - zkontroloval bych ty podezřelé soubory nejen balíčkovacím systémem, i vizuálně (less, file, strings) atd. Pokud nic nenajdeš, tak to zkus zkontrolovat "offline" - nabootovat nějaké liveCD nebo záchranný mód instalace a porovnat soubory na disku s tím, co je v příslušném distribučním balíku. Dobré bývá projít si crontaby, tam se občas taky něco najde.

Jinak chkrootkit se občas plete a spouští falešný poplach, už se mi to dvakrát stalo. Jednou jsem měl spuštěnou nějakou službu na nějakém nestandardním portu a podruhé se mu zase nelíbil jakýsi mnou vytvořený soubor.

5.10.2006 15:17 XMurder | skóre: 25 | blog: introvert
Rozbalit Rozbalit vše Re: rootkit Showtree??

Odpovědět | Sbalit | Link | Blokovat | Admin

Mám Debian Testing, teďka jsem upgradoval (staženo pár balíků, mám podezření v OpenSSH) a zjistil jsem to samý co ty, takže nejsi sám:
chrootkit -q

The following suspicious files and directories were found:
/usr/lib/firefox/.autoreg

Warning: Possible Showtee Rootkit installed
eth0: PACKET SNIFFER(/sbin/dhclient[3262])

Pustil jsem na to ještě rkhunter -c, ale ten nic moc nezjistil, jen tohle:

* Filesystem checks
   Checking /dev for suspicious files...                      [ OK ]
   Scanning for hidden files...                               [ Warning! ]
---------------
 /dev/.static
/dev/.udev
/dev/.initramfs
/dev/.initramfs-tools /etc/.pwd.lock
---------------
Please inspect:  /dev/.static (directory)  /dev/.udev (directory)  /dev/.initramfs (directory)

Mno asi nainstaluji ClamAV. Jo a top ukazuje 0% zombií, no já nevim co tam je... :-(

krucifix

5.10.2006 15:21 XMurder | skóre: 25 | blog: introvert
Rozbalit Rozbalit vše Re: rootkit Showtree??

mám podezření v OpenSSH

Doplním: před upgradem (jenom upgrade softwaru, tzn. apt-get upgrade, na etchovi jedu už dlouho) OpenSSH jsem asi před ~14ti dny pouštěl chkrootkit, ten dříve nic nenašel, ale teď ano

5.10.2006 18:04 pele | skóre: 28 | blog: Bleabr | UH
Rozbalit Rozbalit vše Re: rootkit Showtree??

Tak to sem rad, ze nejsem sam :-)

. Jen pro doplneni, taktez pouzivam Debian Etch.

Je zajimave ze

rkhunter --checkall

nic nanajde. No nic, zatim ani google neporadil.

Kazdopadne dik za rady a nazory.

Pravda má jednu velkou výhodu: člověk si nemusí pamatovat, co řekl.

5.10.2006 19:40 Filip Jirsák | skóre: 68 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: rootkit Showtree??

Odpovědět | Sbalit | Link | Blokovat | Admin

To už tahle móda antivirů a preventivního skenování přichází i na Linux? Ještě v dobách DOSu měly antiviry aspoň nějaký smysl, protože to byl nejsnazší způsob, jak vir odstranit, ale ty "moderní" viry pro Windows nestojej za nic, takže jsou zpravidla pomocí RegEditu a Process Exploreru odstraněné dřív, než si vzpomenu, odkud by se dal nějaký antivir stáhnout. A to preventivní skenování jsem stejně nikdy nepochopil. Pravda je, že s těmi asi šesti zavirovanými počítači, které jsem kdy potkal, mám asi malé zkušenosti.

Stejně je to ale divná móda, ty viry, kde kdo je "používá", ale já jsem jim dodnes nějak nepřišel na chuť :-D

6.10.2006 04:42 Kyosuke | skóre: 28 | blog: nalady_v_modre
Rozbalit Rozbalit vše Re: rootkit Showtree??

Mě by v první řadě zajímalo, jak by se tam něco takového mohlo dostat, aniž by u uživatelů distribuce vypuknul skandál, že je kompromitovaný repozitář balíčků … ;-)

Jak moc jsou ábíčkáři inteligentní? ;-)

6.10.2006 09:16 Michal Vyskočil | skóre: 60 | blog: miblog | Praha
Rozbalit Rozbalit vše Re: rootkit Showtree??

No, protože, jak se zdá, nikdo nekontroloval případné změnu oproti originálním balíčkům, těžko říct, zda je kompromitovaný repozotář balíčků :-)

Pro autora výše, na unixu byly pravděpodobně rootkity už v době, kdy Bill Gates programoval Basic pro Altair ;-)

When your hammer is C++, everything begins to look like a thumb.

6.10.2006 11:17 Filip Jirsák | skóre: 68 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: rootkit Showtree??

Pro autora výše, na unixu byly pravděpodobně rootkity už v době, kdy Bill Gates programoval Basic pro Altair

No ale myslím, že neexistovaly nástroje, které by pravidelně skenovaly disk a podle signatur se pokoušeli rootkit najít. Ono už z principu je pošetilé pokoušet se z potenciálně kompromitovaného systému nalézt tu kompromitaci.

Nějak mám pořád pocit, že pokud se s počítačem děje něco divného, měl by si toho všimnout především správce, ne nějaký automat se spoustou planých poplachů.

6.10.2006 13:37 Michal Vyskočil | skóre: 60 | blog: miblog | Praha
Rozbalit Rozbalit vše Re: rootkit Showtree??

No ale myslím, že neexistovaly nástroje, které by pravidelně skenovaly disk a podle signatur se pokoušeli rootkit najít.

Přiznám se, že se v této problematice příliš neorientuji, ale myslím, že existují i nástroje, které prohledávají třeba /dev/kmem, nebo /dev/mem, takže skenování disku netřeba. Nevím, jak moc úspěšně se tam dokážou rootkity schovat. Navíc, každý bezpečnostní návod nabádal k vytvoření bezpečné, staticky slinkované verze těchto nástrojů (anebo kontrolu z nějakého LiveCD).

Ono už z principu je pošetilé pokoušet se z potenciálně kompromitovaného systému nalézt tu kompromitaci.

To je pravda.

When your hammer is C++, everything begins to look like a thumb.

Založit nové vlákno • Nahoru

Tiskni Sdílej: