Nowe posty

Autor Wątek: Rootkit Lite5r-Lite  (Przeczytany 7365 razy)

  • Gość
Rootkit Lite5r-Lite
« dnia: 2010-06-10, 11:18:06 »
Cześć wszystkim. Mam dziwne problemy z Fedorą 13. Po instalacji z płyty DVD, wstępnej konfiguracji (fstab z [nodev,nosuid...], limits.conf, hosts.allow, hosts.deny, pam, login.defs, iptables etc.) i aktualizacji, ciągle dostaję alerty z rkhunter dotyczące właśnie tego rootkita. Wcześniej dotyczył one Suckit. Chodzi o to, że plik /tmp/.bash_history (.history_bash ?), który jest ukryty jest - niby - tym rootkitem. Wczoraj poddałem go edycji i z tego co pamiętam w treści było zaledwie kilka linijek;
/etc/security/limits.conf
fsck
/etc/security/limits.conf
nano
Po usunięciu i ponownym skanowaniu, alert ten nie pojawił się (Possible rootkit: rootkit Lite5r). Chkrootkit nie pokazuje niczego. W jaki sposób sprawdzić czy system jest naprawdę czysty, a rkhunter po prostu się myli? W ciągu ostatnich dni reinstalowałem system kilkukrotnie ze względu właśnie na rootkit'y - to chyba najpewniejszy sposób na nie - nigdy nie wiadomo czy nie zostały jakieś "otwarte drzwi". Dodam jeszcze, że F13 służy jako desktop bez żadnych serwerów (www, samba, ftp etc.) Nic z tych rzeczy. Czyżby wśród pakietów na plycie było coś ukrytego?
Nie opisałem tego problemu w dziale nt. Fedory, bo ten wydał mi się odpowiedniejszy :-) Pozdrawiam.

darkhog

  • Gość
Rootkit Lite5r-Lite
« Odpowiedź #1 dnia: 2010-06-10, 11:29:52 »
Hm... Problem dziwny, no ale skoro to tylko desktop, nie serwer, to bezpieczeństwo nie jest aż tak ważne. Moim zdanie jednak chkrootkit jest pewniejszym narzędziem. O rkhunter pierwsze słyszę, no ale lepiej sprawdź to jeszcze jakimiś innymi programami.

Tak przy okazji - plik "kropkowane" i tak są schowane. Więcej problemów by było, gdyby się jakieś wykonywalne i niezakropkowane pliki schowały.

  • Gość
Rootkit Lite5r-Lite
« Odpowiedź #2 dnia: 2010-06-10, 13:05:14 »
Niestety, dla mnie nie ma różnicy czy jest to desktop czy serwer. Jestem paranoikiem jeśli chodzi o bezpieczeństwo. ;-)
Chkrootkit wydaje się mieć mniejszy zasięg działania - jeśli moge tak to określić. Tak mi się wydaje, a rkhunter jest dostępny w rezpozytorium Fedory, więc raczej, nie ma mowy, o infekcji (w przeciwieństwie do ściągania z niepewnych stron internetowych). System sprawdzałem jeszcze za pomocą; unhide, tiger, lynis. Ale w przypadku unhide, nie wiem gdzie szukać logów ;-).

Więc w jaki sposób sprawdzić, czy nie schowały się te wykonywalne i niezakropkowane? ;-)

Offline Paweł Kraszewski

  • Administrator
  • Guru
  • *****
  • Wiadomości: 2835
  • Lenistwo jest matką potrzeby = babcią wynalazku
    • Zobacz profil
Rootkit Lite5r-Lite
« Odpowiedź #3 dnia: 2010-06-10, 14:27:27 »
Schować niezakropkowane można tylko przez machlojki w kernelu. Najlepiej system sprawdzać z jakiegoś liveCD, bo weryfikacja podejrzanego systemu narzędziami z tegoż podejrzanego systemu jest lekko bez sensu...
Paweł Kraszewski
~Arch/Void/Gentoo/FreeBSD/OpenBSD/Specjalizowane customy

  • Gość
Rootkit Lite5r-Lite
« Odpowiedź #4 dnia: 2010-06-11, 08:58:41 »
Panie Kraszewski, mam podobne zdanie jeśli chodzi o sprawdzanie systemu, który chwilę wcześniej był/jest prawdopodobnie skompromitowany. Jednak w przypadku jakiegokolwiek alertu ze strony rkhunter'a czy też chkrootkit'a człowiek zawsze stara się sprawdzać dalej i dalej...;-)
O systemie livecd pomyślałem już wcześniej. Zassałem Knoppix'a STD, ale podczas próby załadowania dostaję errory typu; nie znany format plików (?), dostępna konsola tylko z tymi poleceniami: mount, umount - i jeszcze jakieś trzy, cztery polecenia, których nie pamiętam, a które na pewno nie służą do sprawdzenia bezpieczeństwa systemu. Miałem również pod ręką wersję live Fedory z xfce, ale na niej nie ma chyba narzędzi, które mogły by pomóc. Z resztą i tak był problem z załadowniem;
mount: unknown filesystem type 'DM_snapshot_cow'
'DM_snapshot_cow'
'DM_snapshot_cow'
'DM_snapshot_cow'
'DM_snapshot_cow'
'DM_snapshot_cow'
'DM_snapshot_cow'
'DM_snapshot_cow'
'DM_snapshot_cow'
Can't mount root file system
Boot was failed, sleeping forever
Dziwna sprawa.

Offline roobal

  • Users
  • Guru
  • *****
  • Wiadomości: 2056
    • Zobacz profil
Rootkit Lite5r-Lite
« Odpowiedź #5 dnia: 2010-06-12, 03:23:53 »
Nie wiem czy to ma jakiś związek ale czytałem całkiem niedawno (chyba na jakilinux.org), że przez około 5 lat jeden z serwerów robiących za repo Fedory był pod kontrolą niepowołanych osób trzecich o czym sam administrator serwera/twórcy Fedory nie wiedzieli, więc ja bym był ostrożnym używając tego distro ;)

Pozdrawiam!

  • Gość
Rootkit Lite5r-Lite
« Odpowiedź #6 dnia: 2010-06-12, 13:29:17 »
@roobal ciekawe jest to co piszesz. Więc spróbuję odpalić raz jeszcze tego Knoppixa STD i zobaczymy co będzie dalej. A może już pora powrócić do Slackware? ;-) Fedora "skusiła" mnie yum'em, SELinux'em etc. Naprawdę, jest trochę rzeczy podwyższających poziom bezpieczeństwa. Ale nie o to przecież chodzi. Dzięki za info, ;-)

Offline

  • Users
  • Prawie jak Guru
  • ****
  • Wiadomości: 432
    • Zobacz profil
Rootkit Lite5r-Lite
« Odpowiedź #7 dnia: 2010-06-12, 18:24:13 »
Wiesz, może zostaw tego Knoppiksa STD a zainteresuj się BackTrackiem? wg mnie to projekt już znacznie bardziej dojrzały od STD, a powinien Ci zaserwować odpowiednie narzędzia do analizy systemu.

  • Gość
Rootkit Lite5r-Lite
« Odpowiedź #8 dnia: 2010-06-12, 19:29:29 »
@scool, wiesz, myślałem także o back track, ale miałem wtedy pod ręką tylko płytę CD, a bt zajumje 1,5 GB. No, ale myślę, żę ściągnę, nagram i spróbuję...

Offline roobal

  • Users
  • Guru
  • *****
  • Wiadomości: 2056
    • Zobacz profil
Rootkit Lite5r-Lite
« Odpowiedź #9 dnia: 2010-06-12, 20:48:24 »
Udało mi się znaleźć to o czym pisałem http://linuxnews.pl/developerzy-fedory-szukaja-backdoorow/ ;)

Pozdrawiam!

  • Gość
Rootkit Lite5r-Lite
« Odpowiedź #10 dnia: 2010-06-13, 00:46:47 »
@roobal dzięki za info, ale czytając komentarze dostrzegłem coś takiego;
Cytuj
“Podane repozytorium, które podobno wpadło w niepowołane ręce, nie jest repozytorium dystrybucji. Jest to repozytorium zewnętrzne”
a skoro było to repo zewnętrzne to ciekawe jest również to;
Cytuj
“Swoją drogą dziwne że “inne dystrybucje milczą” na ten temat ”
Sam już nie wiem. Prawdopodobnie wrócę do Slackware ;-)