Repository 32bit  Forum
Repository 64bit  Wiki

Mi hanno rootkitato ?

Postate qui per tutte le discussioni legate alla sicurezza di Linux/Slackware

Moderatore: Staff

Regole del forum
1) Citare sempre la versione di Slackware usata, la versione del Kernel e magari anche la versione della libreria coinvolta. Questi dati aiutano le persone che possono rispondere.
2) Specificare se discussione/suggerimento o richiesta d'aiuto.
3) Leggere attentamente le risposte ricevute.
4) Scrivere i messaggi con il colore di default, evitare altri colori.
5) Scrivere in Italiano o in Inglese, se possibile grammaticalmente corretto, evitate stili di scrittura poco chiari, quindi nessuna abbreviazione tipo telegramma o scrittura stile SMS o CHAT.
6) Appena registrati è consigliato presentarsi nel forum dedicato.

La non osservanza delle regole porta a provvedimenti di vari tipo da parte dello staff, in particolare la non osservanza della regola 5 porta alla cancellazione del post e alla segnalazione dell'utente. In caso di recidività l'utente rischia il ban temporaneo.

Mi hanno rootkitato ?

Messaggioda Dani » mar gen 23, 2007 16:46

Ultimamente sto usando poco slackware, comunque ieri sera ho notato che nella root c'era una directory "slack" che conteneva tre sottodirectory: bin, sbin e var.
In queste directory c'erano programmi come chmod, ls, chattr, fdisk ecc...Alcuni dei quali erano dei link simbolici ai "veri" files.

Ho subito elminato la directory in questione e fatto una scansione con rkhunter, anche se secondo me questi programmi non servono a nulla...Ma non si sa mai...In ogni caso dice che è tutto ok ad eccezione di tre files: /etc/.java (directory vuota) , /etc/.password (vuoto pure questo) ed /dev/.non ricordo che ho eliminato subito subito. Ho riavviato e il sistema funzionava correttamente.

Io sono convinto che si tratta di un rootkit che qualche lamerone ha inserito in qualche tgz, per questo volevo sapere se c'è un modo per ordinare cronologicamente in /var/log/packages i pacchetti stessi.

Secondo voi mi sono beccato un rootkit ?
Escuderei che l'eventuale attacker mi abbia exploitato perchè ho tutte le porte chiuse, non uso alcun tipo di servizio che metta in ascolto una porta, nè ssh, nè telnet, nè nulla...

Il firewall del router blocca tutto il traffico in entrata, ad eccezione del p2p. Idem per iptables.
Dani
Linux 3.x
Linux 3.x
 
Messaggi: 1447
Iscritto il: mer apr 26, 2006 0:52
Desktop: gnome
Distribuzione: arch

Messaggioda l1q1d » mar gen 23, 2007 16:53

secondo me e` difficile che ti siano entrati, prima di cancellare tutto ti conveniva guardare la data di creazione dei file e dai un occhio ai log. Non ci sara' quasi sicuramente il pacchetto precompilato della lammata....
Avatar utente
l1q1d
Master
Master
 
Messaggi: 1862
Iscritto il: lun feb 21, 2005 0:00
Località: In uno spazio n-dimesionale

Messaggioda Dani » mar gen 23, 2007 17:10

l1q1d ha scritto:Non ci sara' quasi sicuramente il pacchetto precompilato della lammata....


In che senso ?
Volevo vedere quali sono gli ultimi pacchetti installati, per poi recuperarli dalla rete ed analizzarli.
Dani
Linux 3.x
Linux 3.x
 
Messaggi: 1447
Iscritto il: mer apr 26, 2006 0:52
Desktop: gnome
Distribuzione: arch

Messaggioda gioco » mar gen 23, 2007 18:47

Dani ha scritto:Volevo vedere quali sono gli ultimi pacchetti installati, per poi recuperarli dalla rete ed analizzarli.

Puoi fare un semplice
Codice: Seleziona tutto
ls -l /var/log/packages | grep $data

dove data è la data che ti interessa.
Avatar utente
gioco
Packager
Packager
 
Messaggi: 900
Iscritto il: sab giu 18, 2005 23:00
Località: in the court of the Wesnoth king
Slackware: last stable

Messaggioda Dani » mar gen 23, 2007 19:17

mmmh...ho dato cat /var/log/packages/* | grep /slack/ e non c'è nulla...
Dani
Linux 3.x
Linux 3.x
 
Messaggi: 1447
Iscritto il: mer apr 26, 2006 0:52
Desktop: gnome
Distribuzione: arch

Messaggioda Meskalamdug » mar gen 23, 2007 20:27

Dani ha scritto:mmmh...ho dato cat /var/log/packages/* | grep /slack/ e non c'è nulla...


Prova
grep "slack" /var/log/packages/* > 12
grep "slack" /var/log/removed_packages/* >> 12

Poi con calma analizza il file 12 e cerca la directory rimossa
Meskalamdug
Iper Master
Iper Master
 
Messaggi: 3586
Iscritto il: gio mag 13, 2004 23:00

Messaggioda Dani » mer gen 24, 2007 13:05

Nel file 12 mi mette praticamente tutti i pacchetti che ho installato...

Codice: Seleziona tutto
root[~]# wc -l 12
3197 12


:lol:

Dato che la directory sospetta era /slack ho cercato direttamente questa directory in /var/log/packages con "grep -i /slack/" ma non vedo nulla :(
Dani
Linux 3.x
Linux 3.x
 
Messaggi: 1447
Iscritto il: mer apr 26, 2006 0:52
Desktop: gnome
Distribuzione: arch

Messaggioda algol » mer gen 24, 2007 20:23

ho notato che nella root c'era una directory "slack" che conteneva tre sottodirectory: bin, sbin e var.
In queste directory c'erano programmi come chmod, ls, chattr, fdisk ecc...Alcuni dei quali erano dei link simbolici ai "veri" files.

Ciao
A occhio la creazione di queste directory "di sistema" messe lì nella /root sembrerebbe il risultato di un explodepkg o qualcosa di simile.... in questo caso delle coreutils...

Vabbè l'ho buttata li!
Avatar utente
algol
Linux 2.6
Linux 2.6
 
Messaggi: 969
Iscritto il: gio set 07, 2006 0:19
Slackware: 12.1
Kernel: 2.6.26.1
Desktop: xfce4.4.2

Messaggioda Dani » gio gen 25, 2007 21:11

algol ha scritto:
ho notato che nella root c'era una directory "slack" che conteneva tre sottodirectory: bin, sbin e var.
In queste directory c'erano programmi come chmod, ls, chattr, fdisk ecc...Alcuni dei quali erano dei link simbolici ai "veri" files.

Ciao
A occhio la creazione di queste directory "di sistema" messe lì nella /root sembrerebbe il risultato di un explodepkg o qualcosa di simile.... in questo caso delle coreutils...

Vabbè l'ho buttata li!


No, per root non intendo la home di root ma la radice del sistema / !
Dani
Linux 3.x
Linux 3.x
 
Messaggi: 1447
Iscritto il: mer apr 26, 2006 0:52
Desktop: gnome
Distribuzione: arch


Torna a Sicurezza

Chi c’è in linea

Visitano il forum: Google [Bot] e 1 ospite