Mi hanno rootkitato ?
Moderatore: Staff
Regole del forum
1) Citare sempre la versione di Slackware usata, la versione del Kernel e magari anche la versione della libreria coinvolta. Questi dati aiutano le persone che possono rispondere.
2) Specificare se discussione/suggerimento o richiesta d'aiuto.
3) Leggere attentamente le risposte ricevute.
4) Scrivere i messaggi con il colore di default, evitare altri colori.
5) Scrivere in Italiano o in Inglese, se possibile grammaticalmente corretto, evitate stili di scrittura poco chiari, quindi nessuna abbreviazione tipo telegramma o scrittura stile SMS o CHAT.
6) Appena registrati è consigliato presentarsi nel forum dedicato.
La non osservanza delle regole porta a provvedimenti di vari tipo da parte dello staff, in particolare la non osservanza della regola 5 porta alla cancellazione del post e alla segnalazione dell'utente. In caso di recidività l'utente rischia il ban temporaneo.
1) Citare sempre la versione di Slackware usata, la versione del Kernel e magari anche la versione della libreria coinvolta. Questi dati aiutano le persone che possono rispondere.
2) Specificare se discussione/suggerimento o richiesta d'aiuto.
3) Leggere attentamente le risposte ricevute.
4) Scrivere i messaggi con il colore di default, evitare altri colori.
5) Scrivere in Italiano o in Inglese, se possibile grammaticalmente corretto, evitate stili di scrittura poco chiari, quindi nessuna abbreviazione tipo telegramma o scrittura stile SMS o CHAT.
6) Appena registrati è consigliato presentarsi nel forum dedicato.
La non osservanza delle regole porta a provvedimenti di vari tipo da parte dello staff, in particolare la non osservanza della regola 5 porta alla cancellazione del post e alla segnalazione dell'utente. In caso di recidività l'utente rischia il ban temporaneo.
Mi hanno rootkitato ?
Ultimamente sto usando poco slackware, comunque ieri sera ho notato che nella root c'era una directory "slack" che conteneva tre sottodirectory: bin, sbin e var.
In queste directory c'erano programmi come chmod, ls, chattr, fdisk ecc...Alcuni dei quali erano dei link simbolici ai "veri" files.
Ho subito elminato la directory in questione e fatto una scansione con rkhunter, anche se secondo me questi programmi non servono a nulla...Ma non si sa mai...In ogni caso dice che è tutto ok ad eccezione di tre files: /etc/.java (directory vuota) , /etc/.password (vuoto pure questo) ed /dev/.non ricordo che ho eliminato subito subito. Ho riavviato e il sistema funzionava correttamente.
Io sono convinto che si tratta di un rootkit che qualche lamerone ha inserito in qualche tgz, per questo volevo sapere se c'è un modo per ordinare cronologicamente in /var/log/packages i pacchetti stessi.
Secondo voi mi sono beccato un rootkit ?
Escuderei che l'eventuale attacker mi abbia exploitato perchè ho tutte le porte chiuse, non uso alcun tipo di servizio che metta in ascolto una porta, nè ssh, nè telnet, nè nulla...
Il firewall del router blocca tutto il traffico in entrata, ad eccezione del p2p. Idem per iptables.
In queste directory c'erano programmi come chmod, ls, chattr, fdisk ecc...Alcuni dei quali erano dei link simbolici ai "veri" files.
Ho subito elminato la directory in questione e fatto una scansione con rkhunter, anche se secondo me questi programmi non servono a nulla...Ma non si sa mai...In ogni caso dice che è tutto ok ad eccezione di tre files: /etc/.java (directory vuota) , /etc/.password (vuoto pure questo) ed /dev/.non ricordo che ho eliminato subito subito. Ho riavviato e il sistema funzionava correttamente.
Io sono convinto che si tratta di un rootkit che qualche lamerone ha inserito in qualche tgz, per questo volevo sapere se c'è un modo per ordinare cronologicamente in /var/log/packages i pacchetti stessi.
Secondo voi mi sono beccato un rootkit ?
Escuderei che l'eventuale attacker mi abbia exploitato perchè ho tutte le porte chiuse, non uso alcun tipo di servizio che metta in ascolto una porta, nè ssh, nè telnet, nè nulla...
Il firewall del router blocca tutto il traffico in entrata, ad eccezione del p2p. Idem per iptables.
- gioco
- Packager
- Messaggi: 900
- Iscritto il: dom 19 giu 2005, 0:00
- Slackware: last stable
- Località: in the court of the Wesnoth king
- Contatta:
Puoi fare un sempliceDani ha scritto:Volevo vedere quali sono gli ultimi pacchetti installati, per poi recuperarli dalla rete ed analizzarli.
Codice: Seleziona tutto
ls -l /var/log/packages | grep $data
-
- Iper Master
- Messaggi: 3961
- Iscritto il: ven 14 mag 2004, 0:00
Nel file 12 mi mette praticamente tutti i pacchetti che ho installato...
Dato che la directory sospetta era /slack ho cercato direttamente questa directory in /var/log/packages con "grep -i /slack/" ma non vedo nulla
Codice: Seleziona tutto
root[~]# wc -l 12
3197 12
Dato che la directory sospetta era /slack ho cercato direttamente questa directory in /var/log/packages con "grep -i /slack/" ma non vedo nulla
- algol
- Linux 3.x
- Messaggi: 969
- Iscritto il: gio 7 set 2006, 1:19
- Slackware: 12.1
- Kernel: 2.6.26.1
- Desktop: xfce4.4.2
Ciaoho notato che nella root c'era una directory "slack" che conteneva tre sottodirectory: bin, sbin e var.
In queste directory c'erano programmi come chmod, ls, chattr, fdisk ecc...Alcuni dei quali erano dei link simbolici ai "veri" files.
A occhio la creazione di queste directory "di sistema" messe lì nella /root sembrerebbe il risultato di un explodepkg o qualcosa di simile.... in questo caso delle coreutils...
Vabbè l'ho buttata li!
No, per root non intendo la home di root ma la radice del sistema / !algol ha scritto:Ciaoho notato che nella root c'era una directory "slack" che conteneva tre sottodirectory: bin, sbin e var.
In queste directory c'erano programmi come chmod, ls, chattr, fdisk ecc...Alcuni dei quali erano dei link simbolici ai "veri" files.
A occhio la creazione di queste directory "di sistema" messe lì nella /root sembrerebbe il risultato di un explodepkg o qualcosa di simile.... in questo caso delle coreutils...
Vabbè l'ho buttata li!