LKM

Ho una macchina RH6.2 usata per "divertimento" che mi è stata rootata (l'ho 
lasciata sguarnita apposta).
Mi ritrovo quasi sicuramente un LKM perchè ogni volta che cerco di 
ripristinare ls dall'rpm originale, mi ritrovo un'errore (sia ls che lsattr).
L'errore (da mc) è:
File "ls" exist but can not be stat-ed: File o directory inesistente
Ho ripristinato ifconfig, ps e lsmod in /root/bin e modificato il PATH.
Allo stesso modo ho fatto girare chrootkit che trova dei processi nascosti 
(uno si nota immediatamente con il nuovo ps ed è "rhxp -q", in pratica un 
sshd lanciato da rc.sysinit).
Solo non riesco a trovare il modulo che viene caricato.
A questo punto inizio a dubitare che ci sia e penso che quello che mi sono 
trovato sia un rootkit che modifica solo i binari.
Però non capisco quel problema con ls (sicuramente sono permessi).
Inoltre in /dev/ptyas/.tc2k ci dovrebbero essere gli originali di ls e lsof 
(se uso /dev/ptyas/.tc2k/ls -al funziona benissimo) ma non riesco a vederli 
anche con "dir -al".
Ah, infine, ls sono riuscito a importarlo sul sistema, ma solo sulla di 
/root, sulla /root/bin non ne vuole sapere di andarci (possibile che qualche 
tecnica non gli permetta di arrivare alle dir nel path?)

Giulio

________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List