rootkit per mbr, rischio pure per il pinguino ?

Postate qui per tutte le discussioni legate alla sicurezza di Linux/Slackware

Moderatore: Staff

Regole del forum
1) Citare sempre la versione di Slackware usata, la versione del Kernel e magari anche la versione della libreria coinvolta. Questi dati aiutano le persone che possono rispondere.
2) Specificare se discussione/suggerimento o richiesta d'aiuto.
3) Leggere attentamente le risposte ricevute.
4) Scrivere i messaggi con il colore di default, evitare altri colori.
5) Scrivere in Italiano o in Inglese, se possibile grammaticalmente corretto, evitate stili di scrittura poco chiari, quindi nessuna abbreviazione tipo telegramma o scrittura stile SMS o CHAT.
6) Appena registrati è consigliato presentarsi nel forum dedicato.

La non osservanza delle regole porta a provvedimenti di vari tipo da parte dello staff, in particolare la non osservanza della regola 5 porta alla cancellazione del post e alla segnalazione dell'utente. In caso di recidività l'utente rischia il ban temporaneo.
Avatar utente
zetsu
Linux 0.x
Linux 0.x
Messaggi: 72
Iscritto il: sab 5 gen 2008, 9:14
Slackware: 12.2
Kernel: 2.6.27.10
Desktop: kde 3.5.9
Località: Portogruaro (VE) / Udine

Re: rootkit per mbr, rischio pure per il pinguino ?

Messaggio da zetsu »

marghe ha scritto: Io non l'ho capito così... il settore 62 è una copia dell'MBR originale utilizzata dal rootkit
per nascondersi e per nient'altro, almeno così ho capito dall'articolo linkato sopra...

Forse hai ragione, bisognerebbe vedere se il rootkit è in grado di avviare win... e quindi di fare a meno di avviare il settore 62...
personalmente troverei una cosa stupida creare un rootkit che riesca ad avviare un SO, basta collegarlo al bootloader già installato.
Ma questa è solo una mia ipotesi, ben vengano smentite... :lol:

Avatar utente
Plaoo
Linux 3.x
Linux 3.x
Messaggi: 809
Iscritto il: gio 10 apr 2008, 17:40
Slackware: 14 64
Kernel: 3.2.9
Desktop: KDE
Località: Ittiri (SS)

Re: rootkit per mbr, rischio pure per il pinguino ?

Messaggio da Plaoo »

Salve a tutti mi sono sempre interessati i virus quindi vi propongo un modo, magari stupido, di come lo imposterei su Linux:

a) si tratta di un eseguibile che per farlo girare devi inserire la password (come il comando sudo) ovviamente non c'è bisogno di inserire la password ma serve al programma per registrare la pass di root (sistema semplice dove ci possono cascare MOLTI newbie)
b) Si avvia il programma che hai scaricato e fin qui nessun problema.
c)tramite internet il malware (che non si chiude ma resta in background) può:
1)Mandare tramite e-mail ip e password del pc infetto
2)scaricare altri programmi per creare backdoor
d)Inserirsi nel MBR e avviarsi tutte le volte
e)fare "rmdir" di qualsiasi directory volesse
f)Inviarsi a tutti gli utenti del sistema
eccc...
Sono nuovo di Linux ma ho capito quanto E' potente il linguaggio BASH anche troppo potente.
Sono pronto a scriverlo anch'io un codice del genere ma solo per mettermi alla prova, voi che siete MOLTO più esperti di me sul sistema linux secondo voi è fattibile?
Il canale ufficiale di slacky.eu si trova sui server irc.syrolnet.org canale #slackware

Avatar utente
albatros
Iper Master
Iper Master
Messaggi: 2093
Iscritto il: sab 4 feb 2006, 13:59
Kernel: 5.19.0
Desktop: gnome and lxqt
Distribuzione: ubuntu 22.04
Località: Darmstadt - Germania

Re: rootkit per mbr, rischio pure per il pinguino ?

Messaggio da albatros »

Plaoo ha scritto:secondo voi è fattibile?
Tecnicamente sì, da come lo hai descritto è quasi banale, a parte il punto d, che non vedo comunque necessario.
Ma non sfrutta debolezze del sistema, sfrutta l'anello debole della catena, ossia l'operatore.
Non funzionerebbe in un sistema con un amministratore degno di questo nome e non funzionerebbe con un utente un minimo accorto.
Praticamente potresti trarre in inganno solo qualche nuovo utente inesperto, ma sarebbe sostanzialmente una specie di phishing.
Cioè il "virus" si propagherebbe solo grazie all'ingenuità di alcuni utenti.
Ma una persona un minimo avveduta non eseguirebbe mai un programma proveniente da fonte ignota, perdipiù con i privilegi di root!
Esistono poi IDS come tripwire o strumenti come selinux.
c)tramite internet il malware (che non si chiude ma resta in background)
Dovresti però nasconderlo almeno a ps o top, magari sostituendo questi programmi.
Plaoo ha scritto:e)fare "rmdir" di qualsiasi directory volesse
Con rmdir cancelli solo directory vuote. ;)
Plaoo ha scritto:E' potente il linguaggio BASH anche troppo potente.
Sì, ma che c'entra con la sicurezza? :-k

Note finali:
-se ti piace divertirti in questo modo sul tuo pc, bene, può essere anche istruttivo.
-se pensi di compromettere con strategie di questo tipo un sistema linux, hai poche chanches, a meno di trovare sprovveduti.
-se trovi divertente creare programmi che danneggiano sistemi altrui (non credo, ma...), hai la mia totale riprovazione
-se pensi che il vero hacker (anche qui non credo, ma...) sia colui che scrive virus o riesce a compromettere un sistema, sei fuori strada (cioè, potrebbe eventualmente anche essere un hacker, ma intanto è un cracker e spesso un delinquente)
-se sei affascinato dalla sicurezza del sistema, impara innanzitutto a conoscerlo meglio, penserai dopo alle strategie di attacco (per prevenirle)
Ovviamente quanto sopra secondo il mio umile punto di vista. :)

Avatar utente
Plaoo
Linux 3.x
Linux 3.x
Messaggi: 809
Iscritto il: gio 10 apr 2008, 17:40
Slackware: 14 64
Kernel: 3.2.9
Desktop: KDE
Località: Ittiri (SS)

Re: rootkit per mbr, rischio pure per il pinguino ?

Messaggio da Plaoo »

albatros ha scritto: Dovresti però nasconderlo almeno a ps o top, magari sostituendo questi programmi.
Fattibile magari anche modificando "ls" si potrebbe far partire una serie di comandi incontrollabili all' utente
albatros ha scritto: Con rmdir cancelli solo directory vuote. ;)
EHEHE che figura :oops: scusa ma sono nuovo :oops: :oops: :oops:
albatros ha scritto:se pensi che il vero hacker (anche qui non credo, ma...) sia colui che scrive virus o riesce a compromettere un sistema, sei fuori strada (cioè, potrebbe eventualmente anche essere un hacker, ma intanto è un cracker e spesso un delinquente)
Assolutamente NO, gli hacker non sono loro CERTO che no :lol: ;) ma ho letto dei sorgenti di alcuni Virus che sono stati scritti da programmatori con le p*lle quadrate basta vedere la crew 29A.

PS: Comunque penso che creare programmi che automatizzano alcuni processi (es. cancellare i file temporanei, controllare i file log ecc), aiutino l'utente su due campi 1) impari un linguaggio di programmazione 2)Impari a conoscere il tuo sistema
Il canale ufficiale di slacky.eu si trova sui server irc.syrolnet.org canale #slackware

Rispondi