[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]
[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
Archivio: Aprile 2002 ml@sikurezza.org Soggetto: Re: R: Info su rootkit Mittente: TankGirl Data: 23 Apr 2002 07:42:25 -0000
penso sia un virus tipo 8579 vedi http://www3.ca.com/virus/virus.asp?ID=11513 può non esserci alcun rootkit, ma solo è stato girato un programma infetto da root, ricevuto da un altra vittima per rimuoverlo è abbastanza semplice: con uno scan (scritto in perl ad esempio) o commerciale come AVP http://www.avp.it/ occorre identificare i bin infetti (probabilmente tutti in /bin /sbin ...) e reinstallarli da una source sicura. se ti può servire posso inviarti lo scan specifico in perl e le istruzioni per redhat ciao tankgirl On Tuesday 23 April 2002 01:50 am, MaStEROfsYStEmS wrote: > Ma mica hai detto di avere formattato ? > Se è così, nessun rootkit resiste ad una formattazione e alla > reinstallazione dell'OS. > L'unico caso è che reinstallando una versione di OS con i demoni > buggati, ti ri-rootino ogni volta che rifai il server e lo rimetti > online ... > > Il cat a parer mio non è un binario che viene modificato spessissimo. > Piuttosto guardati il ps, o l'ls o il netstat ... magari anche > l'ifconfig, con il quale nascondi se le interfaccie sono in modalità > promiscua (sniffing). > > Guardali con un strace pulito magari e controlla se vanno a fare > l'open su un file per leggere le stringhe da non far vedere, oppure > controlla se hai qualche modulo strano caricato che magari il rootkit > è qualcosa a livello kernel, tipo l'adore dei teso o roba simile. > > Inoltre controllati con binari puliti i processi in background ... al > 90% se ti hanno rootato c'è una backdoor che sta girando, che sia un > tuo demone trojanizzato, che sia magari un ssh o un telnet in listen > su una porta (magari alta). > > Fai le prove del caso e facci sapere se sei riuscito a capire > cos'era. > > END OF LINE > > MaStEROfsYStEmS > PGP DSS Key : http://web.tiscali.it/masterofs/masterofs.asc > Free power for everyone : http://www.slackware.com > > > > -----Messaggio originale----- > Da: Riccardo Ghiglianovich [mailto:riccardo@logicalsystem.it] > Inviato: lunedì 22 aprile 2002 15.15 > A: ml@sikurezza.org > Oggetto: Info su rootkit > > > Un saluto a tutta la lista, che leggo sempre con molto interesse! > > mi si presenta una situazione particolare per la quale chiedo un > supporto a > tutti voi: > Ho un server IBM, xSeries 250, BiProcessore,2GRam, Dischi raid e > compagnia > bella, Linux RedHat montato sopra; > Ha funzionato egregiamente per 6 mesi, dal cliente, poi un bel giorno > si e' > fermato: i profcessi hanno cominciato a morire, anche i piu' > "stupidi", tipo > ls -al o df o cat . > > Il tecnico hardware IBM ha cambiato TUTTO, oramai, tranne il pulsante > di > accensione e i led verdi del frontalino, quindi si suppone abbastanza > verosimilmente che non sia un problema HW > La macchina NON e' connessa direttamente ad Internet, e' un server > interno > contenente il gestionale, ma la LAN ha comunque un altro server Linux > che > funge da gateway verso Internet, non so (non seguiamo totalmente noi > la LAN) > con che livelli di protezione. > > Dopo innumerevoli prove e esperimentazioni(formattazioni, > reinstallazioni di > Linux RedHat. 6.2,7.1,7.2) , ho scoperto che ad un certo momento, > ancora non > e' chiaro in QUALE momento, ma comunque DOPO aver installato altro > software, > comunque "casalingo" ovvero non scaricato daInternet , quasi tutti i > files > della directory /bin vengono modificati in lunghezza, ma non in data > di > accesso, anche quelli meno "critici", quindi anche vi, sleep, cat e > cose del > genere sono tutti piu' grossi. > > Attualmente sto approfondendo la cosa, ma sospetto che ci sia > qualche > programma exploitato. > ho usato chkrootkit ma non mi rileva alcun rootkit o trojan; > Conoscete comunque dei rootkit o altre cose che sotto Linux cambiano > una > quantita' di programmi cosi' grossa (tutta la /bin come minimo)? > > In questo momento, mentre attendo un vostro hint, sto facendo girare > tutto > pina piano, monitorando il piu' possibile i vari movimenti, ma un po' > di know > how esterno sarebbe molto gradito... > grazie, > saluti > RIc > > > > ________________________________________________________ > http://www.sikurezza.org - Italian Security Mailing List ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005