[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]
[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
Archivio: Novembre 2001 ml@sikurezza.org Soggetto: Re: LKM Mittente: vecna Data: 23 Nov 2001 19:53:30 -0000
On Fri, Nov 23, 2001 at 04:50:39PM +0100, SirPsychoSexy wrote: ~ Ho una macchina RH6.2 usata per "divertimento" che mi è stata rootata (l'ho ~ lasciata sguarnita apposta). :) bello, ma occhio prima che poi fan casini da li`... ~ Mi ritrovo quasi sicuramente un LKM perchè ogni volta che cerco di ~ ripristinare ls dall'rpm originale, mi ritrovo un'errore (sia ls che lsattr). ~ L'errore (da mc) è: ~ File "ls" exist but can not be stat-ed: File o directory inesistente umh, a parte che se non puo essere stat-ed (sottoposto a stat(2) che serve per ottener informazioni dai file) non e` detto che non possa essere sottoposto ad altre chiamate di sistema. probabilmente sara` impossibile da unlink(2)are, ma una chiamata di sistema che non ho mai visto considerata in rootkit fatti tramite lkm e` la rename(2) che serve appunto x rinominare un file, probabilmente chiamandola e` possibile rinominar quei file ... ma vabe`... ~ Ho ripristinato ifconfig, ps e lsmod in /root/bin e modificato il PATH. tra l'altro chattr e` cambiato, hai mica visto che ti sono cambiati gli attributi di qualche altro file ? ~ Allo stesso modo ho fatto girare chrootkit che trova dei processi nascosti ~ (uno si nota immediatamente con il nuovo ps ed è "rhxp -q", in pratica un ~ sshd lanciato da rc.sysinit). ~ Solo non riesco a trovare il modulo che viene caricato. usare lsmod o /proc/modules non e` affidabile poiche` e` possibile che un lkm occulti la propria visione da userspace. non e` possibile che occulti *completamente* la propria presenza da tool come kstat che leggono direttamente in /dev/mem quello che c'e`. per superare kstat ci sono 3 sistemi, ma non ho mai visto nessun modulo che li prevedesse e anzi, nemmeno citare uno dei suddetti modi esplicitamente per superar sistemi come quello o come il modulo in grado di individuare l'eventuale modifica di altre syscall... ~ A questo punto inizio a dubitare che ci sia e penso che quello che mi sono ~ trovato sia un rootkit che modifica solo i binari. che e` possibile, xke` quello che descrivi si puo fare solo con i binari ... ~ Però non capisco quel problema con ls (sicuramente sono permessi). ~ Inoltre in /dev/ptyas/.tc2k ci dovrebbero essere gli originali di ls e lsof ~ (se uso /dev/ptyas/.tc2k/ls -al funziona benissimo) ma non riesco a vederli ~ anche con "dir -al". prova a veder se con "du -h *" li vedi, (non credo che qualcuno abbia rootkittato il du(1) :) se e` cosi` allora il rootkit e` solo in userspace, se non le vedi nemmeno con quello allora e` lkm. ~ Ah, infine, ls sono riuscito a importarlo sul sistema, ma solo sulla di ~ /root, sulla /root/bin non ne vuole sapere di andarci (possibile che qualche ~ tecnica non gli permetta di arrivare alle dir nel path?) si` :) ma questo rende + plausibile la via dell'lkm ... ciao :) ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005