R: Info su rootkit

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Ma mica hai detto di avere formattato ?
Se è così, nessun rootkit resiste ad una formattazione e alla
reinstallazione dell'OS.
L'unico caso è che reinstallando una versione di OS con i demoni
buggati, ti ri-rootino ogni volta che rifai il server e lo rimetti
online ...

Il cat a parer mio non è un binario che viene modificato spessissimo.
Piuttosto guardati il ps, o l'ls o il netstat ... magari anche
l'ifconfig, con il quale nascondi se le interfaccie sono in modalità
promiscua (sniffing).

Guardali con un strace pulito magari e controlla se vanno a fare
l'open su un file per leggere le stringhe da non far vedere, oppure
controlla se hai qualche modulo strano caricato che magari il rootkit
è qualcosa a livello kernel, tipo l'adore dei teso o roba simile.

Inoltre controllati con binari puliti i processi in background ... al
90% se ti hanno rootato c'è una backdoor che sta girando, che sia un
tuo demone trojanizzato, che sia magari un ssh o un telnet in listen
su una porta (magari alta).

Fai le prove del caso e facci sapere se sei riuscito a capire
cos'era.

END OF LINE

MaStEROfsYStEmS
PGP DSS Key : http://web.tiscali.it/masterofs/masterofs.asc
Free power for everyone : http://www.slackware.com



- -----Messaggio originale-----
Da: Riccardo Ghiglianovich [mailto:riccardo@logicalsystem.it]
Inviato: lunedì 22 aprile 2002 15.15
A: ml@sikurezza.org
Oggetto: Info su rootkit


Un saluto a tutta la lista, che leggo sempre con molto interesse!

mi si presenta una situazione particolare per la quale chiedo un
supporto a
tutti voi:
Ho un server IBM, xSeries 250, BiProcessore,2GRam, Dischi raid e
compagnia
bella, Linux RedHat montato sopra;
Ha funzionato egregiamente per 6 mesi, dal cliente, poi un bel giorno
si e'
fermato: i profcessi hanno cominciato a morire, anche i piu'
"stupidi", tipo
ls -al  o df o cat .

Il tecnico hardware IBM ha cambiato TUTTO, oramai, tranne il pulsante
di
accensione e i led verdi del frontalino, quindi si suppone abbastanza
verosimilmente  che non sia un problema HW
La macchina NON e' connessa direttamente ad Internet, e' un server
interno
contenente il gestionale, ma la LAN ha comunque un altro server Linux
che
funge da gateway verso Internet, non so (non seguiamo totalmente noi
la LAN)
con che livelli di protezione.

Dopo innumerevoli prove e esperimentazioni(formattazioni,
reinstallazioni di
Linux RedHat. 6.2,7.1,7.2) , ho scoperto che ad un certo momento,
ancora non
e' chiaro in QUALE momento, ma comunque DOPO aver installato altro
software,
comunque "casalingo" ovvero non scaricato daInternet ,  quasi tutti i
files
della directory /bin vengono modificati in lunghezza, ma non in data
di
accesso, anche quelli meno "critici", quindi anche vi, sleep, cat e
cose del
genere sono tutti piu' grossi.

Attualmente sto approfondendo la cosa,  ma sospetto che ci sia
qualche
programma exploitato.
ho usato chkrootkit ma non mi rileva alcun rootkit o trojan;
Conoscete comunque dei rootkit o altre cose che sotto Linux cambiano
una
quantita' di programmi cosi' grossa (tutta la /bin come minimo)?

In questo momento, mentre attendo un vostro hint, sto facendo girare
tutto
pina piano, monitorando il piu' possibile i vari movimenti, ma un po'
di know
how esterno sarebbe molto gradito...
grazie,
saluti
RIc

-----BEGIN PGP SIGNATURE-----
Version: PGP 7.0.4

iQA/AwUBPMShq8jlylC7TBHvEQIoGQCeLjGpCYUVTI0FS9LqnMYwi2zLRmkAn0GP
s+1XvH1EmCvA4sLSmqVTq8tx
=lXuk
-----END PGP SIGNATURE-----


________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List