Přihlásit
: [1]
   |   
: rkhunter a rootkit  ( 12348 )
Tomix
Newbie
*

Karma: 1
: 29


« : December 04, 2011, 20:32:00 »

mám nainstalovanou MDV2011 s aktivním firewalem a msec. Programy stahuji z oficiálních zrcadel a s ověřenými podpisy (výjimky byly např. crossover z crossweavers, skype aj.). Po spuštění rkhunter --check mi rkhunter hlásí podezření na 2 rootkity A to:

Rootkit checks...
    Rootkits checked : 249
    Possible rootkits: 2
    Rootkit names    : GasKit Rootkit, Xzibit Rootkit

tomu předcházela hlášení:

Performing file properties checks
/usr/sbin/rkhunter                                       [ Warning ]

Performing check of known rootkit files and directories
GasKit Rootkit                                           [ Warning ]

Performing additional rootkit checks
Checking for possible rootkit strings                    [ Warning ]

Performing system configuration file checks
Checking if SSH root access is allowed                   [ Warning ]
Checking if SSH protocol v1 is allowed                   [ Warning

Performing filesystem checks
Checking for hidden files and directories                [ Warning ]


Vím, že někdy můžou být falešně pozitivní výsledky. Zkusil jsem i chkrootkit, ten pro změnu nalezl pouze Suckit.
(Searching for Suckit rootkit... Warning: /sbin/init INFECTED)

Pročetl jsem si články o těchto rootkitech na googlu, jediný výsledek je, že co diskuze to jiný názor. Někdo píše, že si toho netřeba všímat, jiný doporučuje přeinstalovat systém.
http://forum.mandriva.com/en/viewtopic.php?f=86&t=135754

Fascinuje mě, že třeba o tom suckitu se na diskuzích píše více jak 7 let a stále se tu hovoří, že je jeho nález falešně pozitivní.

Nevíte někdo co s tím dělat?
Díky moc za rady

« : December 04, 2011, 20:35:12 Tomix »
Hobil
Hero Member
*****

Karma: 58
: 4 006


« #1 : December 06, 2011, 20:12:08 »

plny zaznam z kontroly by měl být ve /var/log/rkhunter.log. Tam by se mělo dát dohledat, proč přesně rkhunter hlásí podezření.
Hledej retezec "possible rootkit"
H.

Benzínem se nemá hasit ohniště
teď už je to jedno, ale pro příště... (K.P.)
Tomix
Newbie
*

Karma: 1
: 29


« #2 : December 08, 2011, 15:58:00 »

děkuji, do logu jsem se díval a je v něm podstatné toto:

[11:33:09] Info: Starting test name 'properties'
[11:33:09] Performing file properties checks
[11:33:12]  /usr/sbin/rkhunter                              [ Warning ]
[11:33:12] Warning: The command '/usr/sbin/rkhunter' has been replaced and is not a script: /usr/sbin/rkhunter: POSIX shell script, ASCII text executable, with very long lines

Checking for GasKit Rootkit...
[11:33:31]   Checking for file '/dev/dev/gaskit/sshd/sshdd'  [ Not found ]
[11:33:31]   Checking for directory '/dev/dev'               [ Found ]
[11:33:31]   Checking for directory '/dev/dev/gaskit'        [ Not found ]
[11:33:31]   Checking for directory '/dev/dev/gaskit/sshd'   [ Not found ]
[11:33:31] Warning: GasKit Rootkit                           [ Warning ]
[11:33:31]          Directory '/dev/dev' found (v adresáři /dev/dev je pouze odkaz na resume o délce 10B, který nelze prohlédnout, ve vlastnostech má tento odkaz uvedeno: odkaz (neplatný) (inode/symlink). A odkazuje na diskový oddíl sloužící jako swap)

[11:33:53] Checking for string 'hdparm'                  [ Warning ] (zkoušel jsem v minulosti tento program hdparm na řízení harddisků, byl stažen z oficiálního zdroje)
[11:33:54] Warning: Checking for possible rootkit strings    [ Warning ]
[11:33:54] Found string 'hdparm' in file '/etc/rc.d/rc.sysinit'. Possible rootkit: Xzibit Rootkit

[11:34:01] Checking if SSH root access is allowed          [ Warning ]
(tady netuším, kde lze toto změnit???)
[11:34:01] Warning: The SSH and rkhunter configuration options should be the same:
[11:34:01] SSH configuration option 'PermitRootLogin': without-password
[11:34:01] Rkhunter configuration option 'ALLOW_SSH_ROOT_USER': no
[11:34:01] Checking if SSH protocol v1 is allowed          [ Warning ]
[11:34:01] Warning: The SSH configuration option 'Protocol' has not been set.
           The default value may be '2,1', to allow the use of protocol version 1.

[11:34:02] Checking for hidden files and directories       [ Warning ]
[11:34:02] Warning: Hidden directory found: /dev/.systemd (tento adresář obsahuje pouze soubor s názvem plymouth, jehož délka je nula bytů)
[11:34:02] Warning: Hidden file found: /dev/.late_kms: ASCII text (obsah souboru je 5B a to text: i915)
[11:34:02] Warning: Hidden file found: /usr/share/man/man5/.k5login.5.xz: XZ compressed data (soubor má 844 bytů, je to změť znaků)
[11:34:02] Warning: Hidden file found: /usr/share/man/man1/..1.xz: XZ compressed data (soubor
je velký 76B a jediný čitelný text je: man1/builtins)



nevíte co s tímto dál? Existují kromě rkhunter a chkrootkit i jiné aktualizované programy?
« : December 08, 2011, 16:05:29 Tomix »
Peťoš
Global Moderator
Hero Member
*****

Karma: 188
: 6 712



« #3 : December 08, 2011, 16:37:50 »

Z toho, co zde popisujes, je videt, ze nejsi moc silny sysadmin a ze jsi to nejspise ani moc necetl. Prvni neni zadny problem, to druhe je trochu horsi.
v /dev/ je vzdy pouze odkaz na nejake zarizeni. Zalezi na systemu, jak co mapuje. Mandriva ma v /dev/dev na prvni pohled nefunkcni odkaz na bootovaci oddil. Jsem si navic celkem jist, ze pokud je napsano "odkaz neplatny", tak neukazuje nikam, protoze cilove misto neexistuje. Spise BY MEL odkazovat, ale neukazuje bude to neco jako
"resume -> ../../hda1"
Ackoli nevim presne, k cemu je toto pouzivano, videl bych to na oblast bootu.

hdparm -- nastavuje nektere vlastnosti disku, je pouzivan mnohymi urychlovacimi a jinymi skripty. Navic kdyby jsi byl otevrel onen soubor '/etc/rc.d/rc.sysinit', tak bys videl, ze hdparm tam je nekolikrat pouze pro nastaveni RAIDu.


Prime SSH prihlaseni roota -- je to mozne zmenit v MCC > zabezpeceni.
Navic kdyby sis to precetl, tak se na radku:
:
[11:34:01] Rkhunter configuration option 'ALLOW_SSH_ROOT_USER': no
konkretne pise, ze se root nemuze prihlasit pres SSH.

/dev/.systemd je zarizeni pouzivane pro nacteni modulu plymonth.
/dev/.late_kms adresar pouzivany pro speedboot

a posledni dva na zaver: jsou to manualove stranky, ktere jsou ZABALENE. A dokonce je to tam i napsane: compressed data. Je tedy jasne, ze se musi pred ctenim v normalnim editoru rozbalit.
Ale normalni lide to ctou programem man -- prvni je proste manual pro skryty soubor .k5login (zkus man .k5login) -- proto i manstranka zacina teckou. No a ..1.xz je totez -- man stranka pro tecku -- BASHove vestavene funkce.


Bohuzel se zde snoubi neznalost s panickou hruzou z vsech viru, cervu, hacku a podobne prinesenou si z prostredi Windows. Pokud mas nainstalovany system, nastaveny firewall a pouzivas jen oficialni zdroje s aktualizacemi, nelamal bych si, byt tebou, s timto hlavu. Mezitim studuj, uc se. Az ziskas dostatek zkusenosti a znalosti, uvidis a muzes si hrat i s takovymito nastroji. Jsou uzitecne pro sysadminy, kteri maji na starosti produkcni masinu, na domaci pouziti akorat zmatou uzivatele.

Do it or do not. There is no "try".

Peťošův repozitář je na adrese: http://petos.cz/rpms
Fotoblog: http://vzducholode.blogspot.com a http://petos.cz/category/fotky
Tomix
Newbie
*

Karma: 1
: 29


« #4 : December 08, 2011, 21:36:21 »

díky za rady, Peťoši.
Nejsem žádný sysadmin, jsem běžný uživatel, laik. Ty postupy co uvádíš jsem vůbec netušil, díky za ně. Studium linuxu mi jde jen po malých krůčcích, většinou když už děti spí - je na to chvilka. Fandím všem, kteří linux vytvářejí a zlepšují.

Je pravda, že u windows jsem se virů, červů a podobné havěti natrápil dost a dost. Programy stahuju jen z ofic. mirrorů a pro jistotu kontroluju i digit. podpis. Proto mě zaujalo, jak by se mi rootkit dostal do počítače – běží mi interaktivní firewall a doinstaloval jsem i msec.
Tomix
Newbie
*

Karma: 1
: 29


« #5 : December 09, 2011, 08:44:04 »

....jinak na rkhunter a chkrootkit jsem si vzpomněl s ohledem na probíhající aféru s Carrier IQ špionem v mobilech s androidem. Vím, je to něco jiného (je nasazený operátory na zakázku, byť data sbírá Carrier), nicméně dnes je čas od času možné všechno.

A to že jsem paranoidní, ještě neznamená, že po mně nejdou 
Hobil
Hero Member
*****

Karma: 58
: 4 006


« #6 : December 11, 2011, 10:39:54 »

neboj, už o tobě vědí, ti co nahoře sedí 
tak například:
:
  [11:33:54] Found string 'hdparm' in file '/etc/rc.d/rc.sysinit'. Possible rootkit: Xzibit Rootkit
je prostě zjištění, že v souboru rc.sysinit se nachází textový řetězec "hdparm", nic víc. To že rkhunter to vyhodnocuje jako možnou nákazu rootkitem Xzibit vyplývá z toho, že Xzibit se maskuje tak, že přepíše standardní systémový hdparm vlastním kódem. Stačí tedy zkontrolovat hdparm, zda v něm nedošlo od instalace k nějaké změně - o což se mimo jiné stará mandrivácký msec.

Ostatní "warningy" rkhunteru mi přijdou zcela nezajímavé/nedůležité.

Naproti tomu by mohlo něco naznačovat jednoznačné hlášení chkrootkitu:
:
Searching for Suckit rootkit... Warning: /sbin/init INFECTED
Podívej se na http://www.la-samhna.de/library/rootkits/list.html a ověř si, zda je hlášení pravdivé.
H.

Benzínem se nemá hasit ohniště
teď už je to jedno, ale pro příště... (K.P.)
Tomix
Newbie
*

Karma: 1
: 29


« #7 : December 13, 2011, 12:54:15 »

no, stačilo se mi podívat na:

http://www.linuxquestions.org/questions/linux-security-4/restoring-data-after-suckit-rootkit-hacking-how-can-i-tell-what-if-any-is-safe-720819/

a udělalo se mi šoufl
Hobil
Hero Member
*****

Karma: 58
: 4 006


« #8 : December 14, 2011, 17:34:04 »

no, je to mazec 

Benzínem se nemá hasit ohniště
teď už je to jedno, ale pro příště... (K.P.)
Tomix
Newbie
*

Karma: 1
: 29


« #9 : December 15, 2011, 10:46:14 »

...tak jsem zformátoval oddíly, na kterém byl systém (/ a /boot) a nainstaloval jsem mandrivu 2011 znova. Oddíl s /home jsem ponechal. Nainstalovat a zaktualizoval, stáhnul rkhunter a chkrootkit a výsledek je stejný. Chkrootkit hlásí infekci SucKit, rkhunter hlásí Gaskit. Hdparm jsem neinstaloval, takže tu není hlášení podezření na Xzibit.
Docela je to zajímavé, u mandriva 2010.2 nic takové nebylo. Buď je to všechno planý poplach - hlásí i jiná distra, třeba Suckit v Ubuntu aj (hlášené bugy). Nebo se nechám unést paranoiou a budu předpokládat, že se dostal škodlivý kod do zdrojových kodů  
Čistě teoreticky, mohl by se rootkit ukrýt před reinstalací v neformátovaném oddílu /home nebo partition table?
Hobil
Hero Member
*****

Karma: 58
: 4 006


« #10 : December 16, 2011, 18:08:58 »

spis se mohl "schovat" tak, ze infikovany system stahoval distro a pri vypalovani se tam prenesl. Nasledne jsi instaloval z nakazeneho zdroje.
"Takze ciste teoreticky" stahnout distro do jineho, cisteho stroje, tam vypalit a provest cele kolecko znovu.
Pripadne zkusit jine distro (slackware, debian,...), nebo jine vydani mdv (live ap.) a vyzkouset scannery rootkitu na nich.
H.

Benzínem se nemá hasit ohniště
teď už je to jedno, ale pro příště... (K.P.)
Tomix
Newbie
*

Karma: 1
: 29


« #11 : December 18, 2011, 10:35:10 »

Zkusím u instalačního USB flash disku ověřit kontrolní součty, jestli nebyly soubory změněny.
Ve Windows, kde sice je hromada virů, jsou taky propracované nástroje jak tyto viry a červy detekovat. A hlavně jak je odstranit. Tady u linuxu nic takové není, aspoň jsem na nic nenarazil. Pokud dojde k nákaze, vypadá to tak, že se musí přeformatovat oddíly a nainstalovat systém znova (třeba z čistých záloh).
Třeba o tom Suckitu, který chkrootkit nově detekuje ve spouště dister, se člověk pořádně nic nedozví. (Je možné, že je léta chyba v chkrootkitu, ale proč o tom třeba Mandriva mlčí? Třeba by stačila zmínka v errata)
....
zajímavý článek jsem našel na:
http://www.linuxexpres.cz/praxe/sprava-linuxoveho-serveru-detekce-rootkitu-a-zotaveni
« : December 19, 2011, 12:23:55 Tomix »
: [1]
   |   
 
: