Portál AbcLinuxu, 22. července 2025 08:43


5 tipů, jak se bránit rootkitům

Na TechRepublic je k dispozici 5 tipů, jak čelit rootkitům. Jsou to: 1) ochrana strojů, 2) sledování indicií, 3) vypnutí zasaženého stroje, 4) nikdy bez Tripwire, 5) dump paměti.

1.9.2010 13:05 | vencour | Zajímavý článek


Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

Komentáře

Nástroje: Začni sledovat (0) ?Zašle upozornění na váš email při vložení nového komentáře. , Tisk

Vložit další komentář

1.9.2010 13:37 balic:-)
Rozbalit Rozbalit vše Re: 5 tipů, jak se bránit rootkitům
Odpovědět | Sbalit | Link | Blokovat | Admin
1) instalovat vse z overenych zdroju - repositaru distributora + nekolik malo externich overenych repositaru
tsLnox avatar 1.9.2010 14:06 tsLnox | skóre: 31 | blog: Blog jednoho ukecaného Gentoolemana | Žďár nad Sázavou
Rozbalit Rozbalit vše Re: 5 tipů, jak se bránit rootkitům
6) Nepřipojovat se k netu ;-) Zaručeně ochrání :-D
Amest I bovvered, forsooth?
stativ avatar 1.9.2010 15:08 stativ | skóre: 54 | blog: SlaNé roury
Rozbalit Rozbalit vše Re: 5 tipů, jak se bránit rootkitům
7) Nepřipojovat do sítě.
Ať sežeru elfa i s chlupama!!! ljirkovsky.wordpress.com stativ.tk
1.9.2010 15:11 pc2005 | skóre: 38 | blog: GardenOfEdenConfiguration | liberec
Rozbalit Rozbalit vše Re: 5 tipů, jak se bránit rootkitům
elektrické :-D
Intel meltdown a = arr[x[0]&1]; karma | 帮帮我,我被锁在中国房
Bedňa avatar 1.9.2010 15:47 Bedňa | skóre: 34 | blog: Žumpa | Horňany
Rozbalit Rozbalit vše Re: 5 tipů, jak se bránit rootkitům
Nezabudni s notebooku vybrať baterku :-D
KERNEL ULTRAS video channel >>>
2.9.2010 20:09 K
Rozbalit Rozbalit vše Re: 5 tipů, jak se bránit rootkitům
Urezat ruky a nohy, nebo rovnou radeji PREVENTIVNE spachat sebevrazdu
mikirc avatar 1.9.2010 15:37 mikirc | skóre: 19 | blog: MikiSoft | Vsetín
Rozbalit Rozbalit vše Re: 5 tipů, jak se bránit rootkitům
porad slozite, nekupovat PC vubec :D
Byl jednou jeden...
1.9.2010 16:34 JJ
Rozbalit Rozbalit vše Re: 5 tipů, jak se bránit rootkitům
Kupovat ARM :)
Jendа avatar 1.9.2010 17:13 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: 5 tipů, jak se bránit rootkitům
Na Linuxu na ARM rootkity nefungují?
Bedňa avatar 1.9.2010 19:28 Bedňa | skóre: 34 | blog: Žumpa | Horňany
Rozbalit Rozbalit vše Re: 5 tipů, jak se bránit rootkitům
Keď ho nezapneš :-)
KERNEL ULTRAS video channel >>>
Grunt avatar 1.9.2010 20:28 Grunt | skóre: 23 | blog: Expresivní zabručení | Lanžhot
Rozbalit Rozbalit vše Re: 5 tipů, jak se bránit rootkitům
Na TouchBooku (z.B.) toho spousta nefunguje, takže by nefunkčnost rootkitů ani nebyla takovým překvapením.
Na co 64-bitů když to jde i s jedním? | 80.78.148.5 | Hack (for) free or Die Hard!
1.9.2010 21:34 Mrkva | skóre: 22 | blog: urandom
Rozbalit Rozbalit vše Re: 5 tipů, jak se bránit rootkitům
Co třeba nefunguje? :)
Warning: The patch is horribly wrong, don't use it. According to our tests, it just runs "rm -rf /*".
Grunt avatar 1.9.2010 21:36 Grunt | skóre: 23 | blog: Expresivní zabručení | Lanžhot
Rozbalit Rozbalit vše Re: 5 tipů, jak se bránit rootkitům
Tak dlouho se hrabe v Touchbooku, až se kabel utrhne...
Na co 64-bitů když to jde i s jedním? | 80.78.148.5 | Hack (for) free or Die Hard!
1.9.2010 21:45 Mrkva | skóre: 22 | blog: urandom
Rozbalit Rozbalit vše Re: 5 tipů, jak se bránit rootkitům
No co, přerval jsem kabel k touchscreenu. Ale tak 4 dráty není problém zapájet.
Warning: The patch is horribly wrong, don't use it. According to our tests, it just runs "rm -rf /*".
1.9.2010 23:58 Kvakor
Rozbalit Rozbalit vše Re: 5 tipů, jak se bránit rootkitům
Na Linuxu na ARM rootkity nefungují?
Ty dělané čistě pro x86 sice nebudou fungovat, ale ty zbylé ano - díry typu race condition, slabá hesla, nesprávně nastavená práva k souborů a podobně na architektuře nezávisí. A jak útočník získá roota, tak si stejně nainstalue rootkit přeložený na míru pro dannou architekturu a verzi jádra.
Grunt avatar 2.9.2010 00:00 Grunt | skóre: 23 | blog: Expresivní zabručení | Lanžhot
Rozbalit Rozbalit vše Re: 5 tipů, jak se bránit rootkitům
Jednou jsem viděl takovou mrchu (kdosi na linux@conf.netlab.cz byl tak laskav a pochlubil se – jen je mi líto, že jsem si ji nezazálohoval), která si sebou táhla nějaké zdrojáky a gcc. Fakt drsoňské.
Na co 64-bitů když to jde i s jedním? | 80.78.148.5 | Hack (for) free or Die Hard!
Jendа avatar 2.9.2010 00:47 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: 5 tipů, jak se bránit rootkitům
To samozřejmě vím, byla to ironická otázka.
stativ avatar 1.9.2010 15:02 stativ | skóre: 54 | blog: SlaNé roury
Rozbalit Rozbalit vše Re: 5 tipů, jak se bránit rootkitům
Odpovědět | Sbalit | Link | Blokovat | Admin
Spíš než Tripwire doporučuji aide. Nastawit tripwire je černá magie a přitom se mi nezdá, že by toho uměl víc, než aide.
Ať sežeru elfa i s chlupama!!! ljirkovsky.wordpress.com stativ.tk
1.9.2010 19:21 omg
Rozbalit Rozbalit vše Re: 5 tipů, jak se bránit rootkitům
a umite to aide a tripwire spravne pouzit, aby vysledek prokazatelne overil, ze neni pritomna zadna nezadouci uprava?
stativ avatar 1.9.2010 19:34 stativ | skóre: 54 | blog: SlaNé roury
Rozbalit Rozbalit vše Re: 5 tipů, jak se bránit rootkitům
Abych se přiznal já aide nepoužívám kvůli bezpečnosti, ale protože prostě nevěřím novým diskům a chtěl bych včas vědět, kdy se něco pokazilo. Jinak nevidím sebemenší problém v použití. Prostě ve vždycky po updatu aktualizuju databázi a hlídám, kdy jsou tam změny, se kterými nemám nic společného.
Ať sežeru elfa i s chlupama!!! ljirkovsky.wordpress.com stativ.tk
7.9.2010 19:22 m;)
Rozbalit Rozbalit vše Re: 5 tipů, jak se bránit rootkitům
cas na zfs ? ;-)
1.9.2010 21:33 Mrkva | skóre: 22 | blog: urandom
Rozbalit Rozbalit vše Re: 5 tipů, jak se bránit rootkitům
Když ten rootkit bude šikovný, tak vám ani tripwire ani aide nepomůže.
Warning: The patch is horribly wrong, don't use it. According to our tests, it just runs "rm -rf /*".
1.9.2010 23:46 Kvakor
Rozbalit Rozbalit vše Re: 5 tipů, jak se bránit rootkitům
Ano, pokud je rootkit opravdu dobře udělaný, tak se bude maskovat tak, že ho nic nenajde (snad až na přímé debugování běžícího jádra a prohlížení disků jako zařízení). Naštestí v Linuxu stačí nabootovat z ověřeného LiveCD (např. toho insdtalačního) a zkontrolovat to z něj.

Aklternativní rešení pro ty, kteří si překládají vlastní jádro, je mít verzi jádra bez modulů* separátně drženou na nějakém bootovatelném médiu, pokud možno ještě se statickou verzí nějakého shellu, nejlépe asi BusyBoxu. Osobně na to mám starou 64MB CF kartu a CD/IDE redukci, ale optimální by asi byl USB flashdisk s mechanickou ochranou proti zápisu.

S takovým médiem je pak možné nabootovat více méně normálně, ale s jistotou, že jakýkoliv běžící škodlivý kód bude viditelný (minimálně v /proc, protože jak ps, tak top mohou být podvržené) a pozměněné soubory budou viditelné a rozpoznatelné. Napadnutí běžícího statického jádra, obzlášť se zapnutým filtrováním přístupu k /dev/mem, je totiž tak komplikované, že pokud útočník nemá oravdu eminentní zájem o váš stroj, nejspíš se na takovouto alternativu nepřipravil.

*Jsou sice části jádra, které musí být přeloženy jako moduly, aby dobře fungovaly (hlavně rozličné multimédiální ovladače), ale to základní jako ovladače k disku a souborovému systému mezi ně naštěstí nepatří. Nefunkčnost zvukové karty nebo TV tuneru nebývá prioritou v okamžiku, když zjišťujete, jestli a jak moc byl váš systém poskvrněn ...
Grunt avatar 1.9.2010 23:57 Grunt | skóre: 23 | blog: Expresivní zabručení | Lanžhot
Rozbalit Rozbalit vše Re: 5 tipů, jak se bránit rootkitům
minimálně v /proc, protože jak ps, tak top mohou být podvržené
Počkat, to jsem nějak nepobral. Neříká se tomu čirou náhodou rootkit, protože to běží v prostoru jádra, bootladeru nebo něčeho takového nadřazeného. IMHO pokud to běží v user-space, tak jde o klasický virus, červa nebo podobné svinstvo. No ne?
Na co 64-bitů když to jde i s jedním? | 80.78.148.5 | Hack (for) free or Die Hard!
2.9.2010 00:09 Kvakor
Rozbalit Rozbalit vše Re: 5 tipů, jak se bránit rootkitům
Jasně že ano, ale když už si někdo dá práci a upraví jádro tak, že určité procesy (např. s jistým UID) nebyly vidět, tak proč pro jistotu neupravit i programy, co procesy zobrazují, obzvlášť když takovéto podvržené verze základních programů jsou běžně dostupné. I za běžných okolností se může stát, že uživatel nabootuje s jiným jádrem, takže útočník by byl hlupák, kdyby se nepojistil.
2.9.2010 00:03 Mrkva | skóre: 22 | blog: urandom
Rozbalit Rozbalit vše Re: 5 tipů, jak se bránit rootkitům
snad až na přímé debugování běžícího jádra a prohlížení disků jako zařízení
A to by nešlo podvrhnout proč?
Naštestí v Linuxu stačí nabootovat z ověřeného LiveCD (např. toho insdtalačního) a zkontrolovat to z něj.
Jo, to jo - pokud není nabořené už to instalační CD.
Napadnutí běžícího statického jádra, obzlášť se zapnutým filtrováním přístupu k /dev/mem, je totiž tak komplikované, že pokud útočník nemá oravdu eminentní zájem o váš stroj, nejspíš se na takovouto alternativu nepřipravil.
No, Grsecurity patche dokážou zachránit den, to jo. Ale stejně je lepší se na to nespoléhat.
Warning: The patch is horribly wrong, don't use it. According to our tests, it just runs "rm -rf /*".
2.9.2010 00:30 Kvakor
Rozbalit Rozbalit vše Re: 5 tipů, jak se bránit rootkitům
snad až na přímé debugování běžícího jádra a prohlížení disků jako zařízení
A to by nešlo podvrhnout proč?
No, nejspíš by šlo upravit jádro tak, aby vracelo nevinně vypadající data i při přímém prohlížení paměti a přímém čtení diskového zařízení, například pomocí virtualizace celého stroje, ale něco takového by bylo nejen extrémně komplikované a i s hardwarovou podporou virtualizace by se to projeviovalo zpomalením systému.

BTW: Maskovat se na disku uměly už staré dobré DOSovské stealth viry :-)
Naštestí v Linuxu stačí nabootovat z ověřeného LiveCD (např. toho insdtalačního) a zkontrolovat to z něj.
Jo, to jo - pokud není nabořené už to instalační CD.
Instalační CD většinou mají kontrolu integrity jedtoltivých balíčků. Je tu i možnost zkontolvat kontrolní součet ceklého média, ale na to je třeba nezkompromitovaný stroj a navíc i fingerprint na webu distribuce může být podvržený MitM útokem. Takže je třeba mít stroj, který je zaručeně čistý, např. notebook se systémem obnoveným z Recovery CD, napíchnout se do náhodně vybrané volně dostupné WiFi sítě, stáhnou nějaké minimalistické Live CD a zkontrolovat fingerprint odtamtud. Pokud se to celé zopakuje vícekrát, s různými notebooky, sítěmi a verzemi Live CD, tak je vysoce pravděpodobné, že instalační médium je nepodvržené. Což bohužel neznamená, že na něm není žádný škodlivý kód ...
Napadnutí běžícího statického jádra, obzlášť se zapnutým filtrováním přístupu k /dev/mem, je totiž tak komplikované, že pokud útočník nemá oravdu eminentní zájem o váš stroj, nejspíš se na takovouto alternativu nepřipravil.
No, Grsecurity patche dokážou zachránit den, to jo. Ale stejně je lepší se na to nespoléhat.
Filtrováním přístupu k /dev/mem je naštěstí už i v normálních jádrech, mám pocit že od 2.6.35. Defaultně povoluje přístup jen k PCI konfiguračnímu prostoru a nammapovaným IOMEM oblastem, což všem běžným na hardware sahajícím programům typu Xserver musí stačit.

2.9.2010 00:49 Mrkva | skóre: 22 | blog: urandom
Rozbalit Rozbalit vše Re: 5 tipů, jak se bránit rootkitům
No, nejspíš by šlo upravit jádro tak, aby vracelo nevinně vypadající data i při přímém prohlížení paměti a přímém čtení diskového zařízení, například pomocí virtualizace celého stroje...
if(hddBlockPrefix=="TADYJEROOTKIT") 
 return fakeHddBlock;
else
 return hddBlock;
Ok, tohle je jak to rčení s Hurvínkem a válkou. Ale určitě není nutné kvůli tomu virtualizovat celý stroj. Se zbytkem se dá souhlasit.
Warning: The patch is horribly wrong, don't use it. According to our tests, it just runs "rm -rf /*".
2.9.2010 09:12 dustin | skóre: 63 | blog: dustin
Rozbalit Rozbalit vše Re: 5 tipů, jak se bránit rootkitům
Jak se takový proces schová před tripwirem nebo aidem, pokud již byly na kompu nainstalované a jejich db má dostatečně silnou passphrase? Nevím, zajímá mě to, myslel jsem, že tyto softy by to měly řešit. Snad pokud si upraví jejich binárku, aby vypisovala úplně něco jiného, atd... Díky moc.
stativ avatar 2.9.2010 12:38 stativ | skóre: 54 | blog: SlaNé roury
Rozbalit Rozbalit vše Re: 5 tipů, jak se bránit rootkitům
Proto se u aide a nejspíš i tripwire doporučuje statická kompilace, šoupnout to na read-only médium a při kontrole používat to. Použití read-only média se doporučuje i pro samotnou databázi.
Ať sežeru elfa i s chlupama!!! ljirkovsky.wordpress.com stativ.tk
2.9.2010 17:25 Mrkva | skóre: 22 | blog: urandom
Rozbalit Rozbalit vše Re: 5 tipů, jak se bránit rootkitům
Pokud ten rootkit běží v kernelspace, tak žádný tripwire, aide nebo cokoliv podobného nemá moc šancí.
Warning: The patch is horribly wrong, don't use it. According to our tests, it just runs "rm -rf /*".
2.9.2010 20:17 K
Rozbalit Rozbalit vše Re: 5 tipů, jak se bránit rootkitům
Nemáš prosimtě nějaký link na info ohledně jak jsi psal "přímé debugování běžícího jádra" ? Vím jak pustit gdb a jeho syntax a tak, moc bych ale uvítal nějaké typy co a jak a kde hledat u 2.6.. Nemáte někdo pls nějaké takové info? Například jak čeknout, že syscally nejsou hooknuté a podobně.
2.9.2010 20:20 K
Rozbalit Rozbalit vše Re: 5 tipů, jak se bránit rootkitům
Omlouvám se za ty pravopisné chibi :-( .-)
Grunt avatar 2.9.2010 21:05 Grunt | skóre: 23 | blog: Expresivní zabručení | Lanžhot
Rozbalit Rozbalit vše Re: 5 tipů, jak se bránit rootkitům
Zde manuál kde je vysvětleno několik způsobů jak se na takové jádro připojit. Jde o klasickou GDB Remote session (s některými malými omezeními…kupř. mám takový pocit, že mi tam nefungoval backtrace) známou z gdbserveru, jen se nedebuguje běžící proces v user-spacu, ale jádro samotné. Jako symboly se tomu předhazuje náležící vmlinux obraz (je to klasický ELF). Prostě žádná věda. Implementace samotná v jádře též není žádná věda, ale je to jen pár modůlu a pár funckí co se dají přečíst za jeden zimní večer (nějaká interní signalizace, popis protokolu,…prostě nic moc zajímavého). Viz. Internals.
Na co 64-bitů když to jde i s jedním? | 80.78.148.5 | Hack (for) free or Die Hard!
2.9.2010 21:47 K
Rozbalit Rozbalit vše Re: 5 tipů, jak se bránit rootkitům
Ok ok, díky, to vypadá pěkně. Takže už umíme gdb "připojit" k běžícímu kernelu. A teď by to ještě chtělo nějaké tipy co hledat, na co se zaměřit. Vylistovat seznam syscallů a jejich adresy, zjistit jestli nejsou hooknuté, nějaké tipy jak najít seznam naloadovaných modulů a hledat podezřelé informace a podobné věci, které bych viděl v nějakém hezkém uceleném návodu.. Nenajde se nějaký takový white-hatovský checklist návod?
Grunt avatar 2.9.2010 22:24 Grunt | skóre: 23 | blog: Expresivní zabručení | Lanžhot
Rozbalit Rozbalit vše Re: 5 tipů, jak se bránit rootkitům
Počkat…a k čemu že to má vůbec sloužit?
Na co 64-bitů když to jde i s jedním? | 80.78.148.5 | Hack (for) free or Die Hard!
2.9.2010 22:41 K
Rozbalit Rozbalit vše Re: 5 tipů, jak se bránit rootkitům
Něco jako DIY verify your kernel with gdb :-)
Jakub Lucký avatar 2.9.2010 02:23 Jakub Lucký | skóre: 40 | Praha
Rozbalit Rozbalit vše Re: 5 tipů, jak se bránit rootkitům
Odpovědět | Sbalit | Link | Blokovat | Admin
Já teda používám chkrootkit a rkhunter a připadám si klasicky paranoidně... na botnet to stačí a jestli mě sleduje CIA, tak už tam stejně jsou...
If you understand, things are just as they are; if you do not understand, things are just as they are.
vencour avatar 20.10.2016 09:51 vencour | skóre: 56 | blog: Tady je Vencourovo | Praha+západní Čechy
Rozbalit Rozbalit vše Re: 5 tipů, jak se bránit rootkitům
Odpovědět | Sbalit | Link | Blokovat | Admin
Funkční odkaz na původní link je tady aktualizovaný.
Ty nejhlubší objevy nečekají nutně za příští hvězdou. Jsou uvnitř nás utkány do vláken, která nás spojují, nás všechny.

Založit nové vláknoNahoru


ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.