Pagina 2 di 2

Re: rootkit per mbr, rischio pure per il pinguino ?

Inviato: gio gen 24, 2008 15:55
da zetsu
marghe ha scritto:Io non l'ho capito così... il settore 62 è una copia dell'MBR originale utilizzata dal rootkit
per nascondersi e per nient'altro, almeno così ho capito dall'articolo linkato sopra...



Forse hai ragione, bisognerebbe vedere se il rootkit è in grado di avviare win... e quindi di fare a meno di avviare il settore 62...
personalmente troverei una cosa stupida creare un rootkit che riesca ad avviare un SO, basta collegarlo al bootloader già installato.
Ma questa è solo una mia ipotesi, ben vengano smentite... :lol:

Re: rootkit per mbr, rischio pure per il pinguino ?

Inviato: sab apr 12, 2008 3:49
da Plaoo
Salve a tutti mi sono sempre interessati i virus quindi vi propongo un modo, magari stupido, di come lo imposterei su Linux:

a) si tratta di un eseguibile che per farlo girare devi inserire la password (come il comando sudo) ovviamente non c'è bisogno di inserire la password ma serve al programma per registrare la pass di root (sistema semplice dove ci possono cascare MOLTI newbie)
b) Si avvia il programma che hai scaricato e fin qui nessun problema.
c)tramite internet il malware (che non si chiude ma resta in background) può:
1)Mandare tramite e-mail ip e password del pc infetto
2)scaricare altri programmi per creare backdoor
d)Inserirsi nel MBR e avviarsi tutte le volte
e)fare "rmdir" di qualsiasi directory volesse
f)Inviarsi a tutti gli utenti del sistema
eccc...
Sono nuovo di Linux ma ho capito quanto E' potente il linguaggio BASH anche troppo potente.
Sono pronto a scriverlo anch'io un codice del genere ma solo per mettermi alla prova, voi che siete MOLTO più esperti di me sul sistema linux secondo voi è fattibile?

Re: rootkit per mbr, rischio pure per il pinguino ?

Inviato: sab apr 12, 2008 5:12
da albatros
Plaoo ha scritto:secondo voi è fattibile?

Tecnicamente sì, da come lo hai descritto è quasi banale, a parte il punto d, che non vedo comunque necessario.
Ma non sfrutta debolezze del sistema, sfrutta l'anello debole della catena, ossia l'operatore.
Non funzionerebbe in un sistema con un amministratore degno di questo nome e non funzionerebbe con un utente un minimo accorto.
Praticamente potresti trarre in inganno solo qualche nuovo utente inesperto, ma sarebbe sostanzialmente una specie di phishing.
Cioè il "virus" si propagherebbe solo grazie all'ingenuità di alcuni utenti.
Ma una persona un minimo avveduta non eseguirebbe mai un programma proveniente da fonte ignota, perdipiù con i privilegi di root!
Esistono poi IDS come tripwire o strumenti come selinux.
c)tramite internet il malware (che non si chiude ma resta in background)

Dovresti però nasconderlo almeno a ps o top, magari sostituendo questi programmi.
Plaoo ha scritto:e)fare "rmdir" di qualsiasi directory volesse

Con rmdir cancelli solo directory vuote. ;)
Plaoo ha scritto:E' potente il linguaggio BASH anche troppo potente.

Sì, ma che c'entra con la sicurezza? :-k

Note finali:
-se ti piace divertirti in questo modo sul tuo pc, bene, può essere anche istruttivo.
-se pensi di compromettere con strategie di questo tipo un sistema linux, hai poche chanches, a meno di trovare sprovveduti.
-se trovi divertente creare programmi che danneggiano sistemi altrui (non credo, ma...), hai la mia totale riprovazione
-se pensi che il vero hacker (anche qui non credo, ma...) sia colui che scrive virus o riesce a compromettere un sistema, sei fuori strada (cioè, potrebbe eventualmente anche essere un hacker, ma intanto è un cracker e spesso un delinquente)
-se sei affascinato dalla sicurezza del sistema, impara innanzitutto a conoscerlo meglio, penserai dopo alle strategie di attacco (per prevenirle)
Ovviamente quanto sopra secondo il mio umile punto di vista. :)

Re: rootkit per mbr, rischio pure per il pinguino ?

Inviato: sab apr 12, 2008 17:00
da Plaoo
albatros ha scritto:Dovresti però nasconderlo almeno a ps o top, magari sostituendo questi programmi.

Fattibile magari anche modificando "ls" si potrebbe far partire una serie di comandi incontrollabili all' utente
albatros ha scritto:Con rmdir cancelli solo directory vuote. ;)
EHEHE che figura :oops: scusa ma sono nuovo :oops: :oops: :oops:

albatros ha scritto:se pensi che il vero hacker (anche qui non credo, ma...) sia colui che scrive virus o riesce a compromettere un sistema, sei fuori strada (cioè, potrebbe eventualmente anche essere un hacker, ma intanto è un cracker e spesso un delinquente)
Assolutamente NO, gli hacker non sono loro CERTO che no :lol: ;) ma ho letto dei sorgenti di alcuni Virus che sono stati scritti da programmatori con le p*lle quadrate basta vedere la crew 29A.

PS: Comunque penso che creare programmi che automatizzano alcuni processi (es. cancellare i file temporanei, controllare i file log ecc), aiutino l'utente su due campi 1) impari un linguaggio di programmazione 2)Impari a conoscere il tuo sistema