Autor Wątek: Rootkit Lite5r-Lite (Przeczytany 7688 razy)

« **dnia:** 2010-06-10, 11:18:06 »

Cześć wszystkim. Mam dziwne problemy z Fedorą 13. Po instalacji z płyty DVD, wstępnej konfiguracji (fstab z [nodev,nosuid...], limits.conf, hosts.allow, hosts.deny, pam, login.defs, iptables etc.) i aktualizacji, ciągle dostaję alerty z rkhunter dotyczące właśnie tego rootkita. Wcześniej dotyczył one Suckit. Chodzi o to, że plik /tmp/.bash_history (.history_bash ?), który jest ukryty jest - niby - tym rootkitem. Wczoraj poddałem go edycji i z tego co pamiętam w treści było zaledwie kilka linijek;

Kod: [Zaznacz]

/etc/security/limits.conf
fsck
/etc/security/limits.conf
nano

Po usunięciu i ponownym skanowaniu, alert ten nie pojawił się (Possible rootkit: rootkit Lite5r). Chkrootkit nie pokazuje niczego. W jaki sposób sprawdzić czy system jest naprawdę czysty, a rkhunter po prostu się myli? W ciągu ostatnich dni reinstalowałem system kilkukrotnie ze względu właśnie na rootkit'y - to chyba najpewniejszy sposób na nie - nigdy nie wiadomo czy nie zostały jakieś "otwarte drzwi". Dodam jeszcze, że F13 służy jako desktop bez żadnych serwerów (www, samba, ftp etc.) Nic z tych rzeczy. Czyżby wśród pakietów na plycie było coś ukrytego?
Nie opisałem tego problemu w dziale nt. Fedory, bo ten wydał mi się odpowiedniejszy :-) Pozdrawiam.

darkhog · « **Odpowiedź #1 dnia:** 2010-06-10, 11:29:52 »

Hm... Problem dziwny, no ale skoro to tylko desktop, nie serwer, to bezpieczeństwo nie jest aż tak ważne. Moim zdanie jednak chkrootkit jest pewniejszym narzędziem. O rkhunter pierwsze słyszę, no ale lepiej sprawdź to jeszcze jakimiś innymi programami.

Tak przy okazji - plik "kropkowane" i tak są schowane. Więcej problemów by było, gdyby się jakieś wykonywalne i niezakropkowane pliki schowały.

« **Odpowiedź #2 dnia:** 2010-06-10, 13:05:14 »

Niestety, dla mnie nie ma różnicy czy jest to desktop czy serwer. Jestem paranoikiem jeśli chodzi o bezpieczeństwo. ;-)
Chkrootkit wydaje się mieć mniejszy zasięg działania - jeśli moge tak to określić. Tak mi się wydaje, a rkhunter jest dostępny w rezpozytorium Fedory, więc raczej, nie ma mowy, o infekcji (w przeciwieństwie do ściągania z niepewnych stron internetowych). System sprawdzałem jeszcze za pomocą; unhide, tiger, lynis. Ale w przypadku unhide, nie wiem gdzie szukać logów ;-).

Więc w jaki sposób sprawdzić, czy nie schowały się te wykonywalne i niezakropkowane? ;-)

Paweł Kraszewski · « **Odpowiedź #3 dnia:** 2010-06-10, 14:27:27 »

Schować niezakropkowane można tylko przez machlojki w kernelu. Najlepiej system sprawdzać z jakiegoś liveCD, bo weryfikacja podejrzanego systemu narzędziami z tegoż podejrzanego systemu jest lekko bez sensu...

« **Odpowiedź #4 dnia:** 2010-06-11, 08:58:41 »

Panie Kraszewski, mam podobne zdanie jeśli chodzi o sprawdzanie systemu, który chwilę wcześniej był/jest prawdopodobnie skompromitowany. Jednak w przypadku jakiegokolwiek alertu ze strony rkhunter'a czy też chkrootkit'a człowiek zawsze stara się sprawdzać dalej i dalej...;-)
O systemie livecd pomyślałem już wcześniej. Zassałem Knoppix'a STD, ale podczas próby załadowania dostaję errory typu; nie znany format plików (?), dostępna konsola tylko z tymi poleceniami: mount, umount - i jeszcze jakieś trzy, cztery polecenia, których nie pamiętam, a które na pewno nie służą do sprawdzenia bezpieczeństwa systemu. Miałem również pod ręką wersję live Fedory z xfce, ale na niej nie ma chyba narzędzi, które mogły by pomóc. Z resztą i tak był problem z załadowniem;

Kod: [Zaznacz]

mount: unknown filesystem type 'DM_snapshot_cow'
'DM_snapshot_cow'
'DM_snapshot_cow'
'DM_snapshot_cow'
'DM_snapshot_cow'
'DM_snapshot_cow'
'DM_snapshot_cow'
'DM_snapshot_cow'
'DM_snapshot_cow'
Can't mount root file system
Boot was failed, sleeping forever

Dziwna sprawa.

roobal · « **Odpowiedź #5 dnia:** 2010-06-12, 03:23:53 »

Nie wiem czy to ma jakiś związek ale czytałem całkiem niedawno (chyba na jakilinux.org), że przez około 5 lat jeden z serwerów robiących za repo Fedory był pod kontrolą niepowołanych osób trzecich o czym sam administrator serwera/twórcy Fedory nie wiedzieli, więc ja bym był ostrożnym używając tego distro

Pozdrawiam!

« **Odpowiedź #6 dnia:** 2010-06-12, 13:29:17 »

@roobal ciekawe jest to co piszesz. Więc spróbuję odpalić raz jeszcze tego Knoppixa STD i zobaczymy co będzie dalej. A może już pora powrócić do Slackware? ;-) Fedora "skusiła" mnie yum'em, SELinux'em etc. Naprawdę, jest trochę rzeczy podwyższających poziom bezpieczeństwa. Ale nie o to przecież chodzi. Dzięki za info, ;-)

« **Odpowiedź #7 dnia:** 2010-06-12, 18:24:13 »

Wiesz, może zostaw tego Knoppiksa STD a zainteresuj się BackTrackiem? wg mnie to projekt już znacznie bardziej dojrzały od STD, a powinien Ci zaserwować odpowiednie narzędzia do analizy systemu.

« **Odpowiedź #8 dnia:** 2010-06-12, 19:29:29 »

@scool, wiesz, myślałem także o back track, ale miałem wtedy pod ręką tylko płytę CD, a bt zajumje 1,5 GB. No, ale myślę, żę ściągnę, nagram i spróbuję...

roobal · « **Odpowiedź #9 dnia:** 2010-06-12, 20:48:24 »

Udało mi się znaleźć to o czym pisałem http://linuxnews.pl/developerzy-fedory-szukaja-backdoorow/

Pozdrawiam!

« **Odpowiedź #10 dnia:** 2010-06-13, 00:46:47 »

@roobal dzięki za info, ale czytając komentarze dostrzegłem coś takiego;

Cytuj

“Podane repozytorium, które podobno wpadło w niepowołane ręce, nie jest repozytorium dystrybucji. Jest to repozytorium zewnętrzne”

a skoro było to repo zewnętrzne to ciekawe jest również to;

Cytuj

“Swoją drogą dziwne że “inne dystrybucje milczą” na ten temat ”

Sam już nie wiem. Prawdopodobnie wrócę do Slackware ;-)

Aktualności:

Linux.pl »

Nowe posty

Autor Wątek: Rootkit Lite5r-Lite (Przeczytany 7688 razy)

Rootkit Lite5r-Lite

darkhog

Rootkit Lite5r-Lite

Rootkit Lite5r-Lite

Paweł Kraszewski

Rootkit Lite5r-Lite

Rootkit Lite5r-Lite

roobal

Rootkit Lite5r-Lite

Rootkit Lite5r-Lite

Rootkit Lite5r-Lite

Rootkit Lite5r-Lite

roobal

Rootkit Lite5r-Lite

Rootkit Lite5r-Lite