Mi hanno rootkitato ?

Postate qui per tutte le discussioni legate alla sicurezza di Linux/Slackware

Moderatore: Staff

Regole del forum
1) Citare sempre la versione di Slackware usata, la versione del Kernel e magari anche la versione della libreria coinvolta. Questi dati aiutano le persone che possono rispondere.
2) Specificare se discussione/suggerimento o richiesta d'aiuto.
3) Leggere attentamente le risposte ricevute.
4) Scrivere i messaggi con il colore di default, evitare altri colori.
5) Scrivere in Italiano o in Inglese, se possibile grammaticalmente corretto, evitate stili di scrittura poco chiari, quindi nessuna abbreviazione tipo telegramma o scrittura stile SMS o CHAT.
6) Appena registrati è consigliato presentarsi nel forum dedicato.

La non osservanza delle regole porta a provvedimenti di vari tipo da parte dello staff, in particolare la non osservanza della regola 5 porta alla cancellazione del post e alla segnalazione dell'utente. In caso di recidività l'utente rischia il ban temporaneo.
Dani
Linux 3.x
Linux 3.x
Messaggi: 1447
Iscritto il: mer apr 26, 2006 1:52
Desktop: gnome
Distribuzione: arch

Mi hanno rootkitato ?

Messaggioda Dani » mar gen 23, 2007 16:46

Ultimamente sto usando poco slackware, comunque ieri sera ho notato che nella root c'era una directory "slack" che conteneva tre sottodirectory: bin, sbin e var.
In queste directory c'erano programmi come chmod, ls, chattr, fdisk ecc...Alcuni dei quali erano dei link simbolici ai "veri" files.

Ho subito elminato la directory in questione e fatto una scansione con rkhunter, anche se secondo me questi programmi non servono a nulla...Ma non si sa mai...In ogni caso dice che è tutto ok ad eccezione di tre files: /etc/.java (directory vuota) , /etc/.password (vuoto pure questo) ed /dev/.non ricordo che ho eliminato subito subito. Ho riavviato e il sistema funzionava correttamente.

Io sono convinto che si tratta di un rootkit che qualche lamerone ha inserito in qualche tgz, per questo volevo sapere se c'è un modo per ordinare cronologicamente in /var/log/packages i pacchetti stessi.

Secondo voi mi sono beccato un rootkit ?
Escuderei che l'eventuale attacker mi abbia exploitato perchè ho tutte le porte chiuse, non uso alcun tipo di servizio che metta in ascolto una porta, nè ssh, nè telnet, nè nulla...

Il firewall del router blocca tutto il traffico in entrata, ad eccezione del p2p. Idem per iptables.

Avatar utente
l1q1d
Master
Master
Messaggi: 1862
Iscritto il: lun feb 21, 2005 0:00
Località: In uno spazio n-dimesionale
Contatta:

Messaggioda l1q1d » mar gen 23, 2007 16:53

secondo me e` difficile che ti siano entrati, prima di cancellare tutto ti conveniva guardare la data di creazione dei file e dai un occhio ai log. Non ci sara' quasi sicuramente il pacchetto precompilato della lammata....

Dani
Linux 3.x
Linux 3.x
Messaggi: 1447
Iscritto il: mer apr 26, 2006 1:52
Desktop: gnome
Distribuzione: arch

Messaggioda Dani » mar gen 23, 2007 17:10

l1q1d ha scritto:Non ci sara' quasi sicuramente il pacchetto precompilato della lammata....


In che senso ?
Volevo vedere quali sono gli ultimi pacchetti installati, per poi recuperarli dalla rete ed analizzarli.

Avatar utente
gioco
Packager
Packager
Messaggi: 900
Iscritto il: dom giu 19, 2005 0:00
Slackware: last stable
Località: in the court of the Wesnoth king
Contatta:

Messaggioda gioco » mar gen 23, 2007 18:47

Dani ha scritto:Volevo vedere quali sono gli ultimi pacchetti installati, per poi recuperarli dalla rete ed analizzarli.

Puoi fare un semplice

Codice: Seleziona tutto

ls -l /var/log/packages | grep $data

dove data è la data che ti interessa.

Dani
Linux 3.x
Linux 3.x
Messaggi: 1447
Iscritto il: mer apr 26, 2006 1:52
Desktop: gnome
Distribuzione: arch

Messaggioda Dani » mar gen 23, 2007 19:17

mmmh...ho dato cat /var/log/packages/* | grep /slack/ e non c'è nulla...

Meskalamdug
Iper Master
Iper Master
Messaggi: 3766
Iscritto il: ven mag 14, 2004 0:00

Messaggioda Meskalamdug » mar gen 23, 2007 20:27

Dani ha scritto:mmmh...ho dato cat /var/log/packages/* | grep /slack/ e non c'è nulla...


Prova
grep "slack" /var/log/packages/* > 12
grep "slack" /var/log/removed_packages/* >> 12

Poi con calma analizza il file 12 e cerca la directory rimossa

Dani
Linux 3.x
Linux 3.x
Messaggi: 1447
Iscritto il: mer apr 26, 2006 1:52
Desktop: gnome
Distribuzione: arch

Messaggioda Dani » mer gen 24, 2007 13:05

Nel file 12 mi mette praticamente tutti i pacchetti che ho installato...

Codice: Seleziona tutto

root[~]# wc -l 12
3197 12


:lol:

Dato che la directory sospetta era /slack ho cercato direttamente questa directory in /var/log/packages con "grep -i /slack/" ma non vedo nulla :(

Avatar utente
algol
Linux 2.6
Linux 2.6
Messaggi: 969
Iscritto il: gio set 07, 2006 1:19
Slackware: 12.1
Kernel: 2.6.26.1
Desktop: xfce4.4.2
Contatta:

Messaggioda algol » mer gen 24, 2007 20:23

ho notato che nella root c'era una directory "slack" che conteneva tre sottodirectory: bin, sbin e var.
In queste directory c'erano programmi come chmod, ls, chattr, fdisk ecc...Alcuni dei quali erano dei link simbolici ai "veri" files.

Ciao
A occhio la creazione di queste directory "di sistema" messe lì nella /root sembrerebbe il risultato di un explodepkg o qualcosa di simile.... in questo caso delle coreutils...

Vabbè l'ho buttata li!

Dani
Linux 3.x
Linux 3.x
Messaggi: 1447
Iscritto il: mer apr 26, 2006 1:52
Desktop: gnome
Distribuzione: arch

Messaggioda Dani » gio gen 25, 2007 21:11

algol ha scritto:
ho notato che nella root c'era una directory "slack" che conteneva tre sottodirectory: bin, sbin e var.
In queste directory c'erano programmi come chmod, ls, chattr, fdisk ecc...Alcuni dei quali erano dei link simbolici ai "veri" files.

Ciao
A occhio la creazione di queste directory "di sistema" messe lì nella /root sembrerebbe il risultato di un explodepkg o qualcosa di simile.... in questo caso delle coreutils...

Vabbè l'ho buttata li!


No, per root non intendo la home di root ma la radice del sistema / !


Torna a “Sicurezza”

Chi c’è in linea

Visitano il forum: Nessuno e 3 ospiti