Salve a tutti. Il mio problema e' questo. Abbiamo un router adsl e dietro una lan.
Dal mio pc (slack 12.0) oggi ho scaricato tre files dal mio disco remoto (tin.it) e poi dovevo installarli. Niente di particolare, pero' ho notato che l'installazione andava a rilento e cosi' ho lanciato top. Ho trovato in testa due processi BitchX, che a malapena so cosa sono. Tutti e due lanciati da root. Io non ho mai usati irc di qualche tipo e so soltanto a cosa servono, e mi fermo li'. Quindi mi sono allarmato.
Ho eseguito rkhunter, ma non ha rilevato niente di particolare tranne gli warning su group, ldd, whatis e adduser (dai post precedenti sembrano irrilevanti). Qualcuno sa dirmi qualcosa di piu', su cosa e come possa essere successo. Posso solo aggiungere che il giono prima ho chattato con messenger con un mio amico indiano, ma questo l'ho fatto sotto windows e su un altro pc, che utilizza pero' il mio come gateway per andare poi in internet. Non ho notato mulfunzionamenti strani, ma la cosa mi preoccupa assai (due BitchX lanciati come root, che fanno??). Consigli?
grazie
rootkit nel mio pc?
Moderatore: Staff
Regole del forum
1) Citare sempre la versione di Slackware usata, la versione del Kernel e magari anche la versione della libreria coinvolta. Questi dati aiutano le persone che possono rispondere.
2) Specificare se discussione/suggerimento o richiesta d'aiuto.
3) Leggere attentamente le risposte ricevute.
4) Scrivere i messaggi con il colore di default, evitare altri colori.
5) Scrivere in Italiano o in Inglese, se possibile grammaticalmente corretto, evitate stili di scrittura poco chiari, quindi nessuna abbreviazione tipo telegramma o scrittura stile SMS o CHAT.
6) Appena registrati è consigliato presentarsi nel forum dedicato.
La non osservanza delle regole porta a provvedimenti di vari tipo da parte dello staff, in particolare la non osservanza della regola 5 porta alla cancellazione del post e alla segnalazione dell'utente. In caso di recidività l'utente rischia il ban temporaneo.
1) Citare sempre la versione di Slackware usata, la versione del Kernel e magari anche la versione della libreria coinvolta. Questi dati aiutano le persone che possono rispondere.
2) Specificare se discussione/suggerimento o richiesta d'aiuto.
3) Leggere attentamente le risposte ricevute.
4) Scrivere i messaggi con il colore di default, evitare altri colori.
5) Scrivere in Italiano o in Inglese, se possibile grammaticalmente corretto, evitate stili di scrittura poco chiari, quindi nessuna abbreviazione tipo telegramma o scrittura stile SMS o CHAT.
6) Appena registrati è consigliato presentarsi nel forum dedicato.
La non osservanza delle regole porta a provvedimenti di vari tipo da parte dello staff, in particolare la non osservanza della regola 5 porta alla cancellazione del post e alla segnalazione dell'utente. In caso di recidività l'utente rischia il ban temporaneo.
In effetti li ho subito "terminati", ma mi rode il fatto che non riesco a capire cosa e' successo. E soprattutto perche' i due processi erano invisibili (avevo solo tty1 da cui ho lanciato fluxbox). Ho pure controllato il file "messages" nella directory dei log. C'erano stati alcuni tentativi di accesso provenienti dalla Cina, ma tutti infruttuosi, perche' il giorno 25 ottobre avevo lasciato attivo un server ssh(mi serviva per la connessione remota). Stamattina il pc era spento, ed quando l'ho acceso mi sono trovato 'sta cosa infausta. Io non ho le conoscenze per andare tanto in la'. Ho cercato su google e poi ho esaminato alcuni file nel mio pc, ma non riesco e non so se e' possibile trovare chi ha mandato in esecuzione i due Bitchx (forse sono due processi legati insieme ed in effetti si tratterebbe soltanto di un unico BitchX, non lo so, e' una idea). Comunque il fatto e' che c'erano. E pure invisibili. Forse ho fatto male a killarli subito, avrei dovuto prendere piu' note, ma sono rimasto molto sorpreso ed ho preferito non tardare. Magari qualcuno piu' esperto in queste cose sa per cosa sono usati o altro. Grazie comunque
Re: rootkit nel mio pc?
servono per il controllo remoto del tuo "zombie" tramite un chan IRC.xgugux ha scritto:due BitchX lanciati come root, che fanno??
Se chi è entrato non è un esperto (cosa palese visto che i processi utilizzati sono visibili con un semplice top) avrà lasciato ben altre tracce.
Inizia a controllare la history della shell e i file in /var/log.
Controlla cos'altro gira sulla macchina (anche servizi con nomi conosciuti visto che la cosa più ovvia è usare un binario con il nome di un servizio noto in modo da non destare sospetti in un individuo inesperto) e i file eseguibili con il suid bit impostato.
Puoi risalire all'indirizzo del server IRC (che sarà molto probabilmente protetto da password) controllando le connessioni.
per michele.p:
i due BitchX me li sono trovati all'avvio di slack (per caso ho laciato un top, mentre installavo dei prg,, perche' mi sembrava solo un po' lento).
per bloodlust:
in effetti supponevo una cosa del genere (un trasferimento file o altro, non so). Ho cercato di controllare in /etc/rc.d/ se c'e' qualche script che li avviasse, ma niente. Ho controllato i vari cron, ma anche li' niente. Ho controllato /var/log/messages e /var/log/syslog ma anche qui niente di sospetto (a mio parere). Ho letto le .bash_history sia di root che del mio user normale e niente degno di nota. Ho pure usato rkhunter ed anche questo non mi ha dato niente. C'e' qualche file in cui andare a vedere le connessioni IRC ?
Mentre scrivo mi e' venuto in mente una cosa, ma mi sembre troppo fantasiosa.
I files che ho scaricato sono degli zip per cercare dei rootkit. E' possibile secondo te, che siano versioni "sporche"? Mah, mi sembra troppo azzardato. Grazie comunque per le risposte che mi avete dato finora.
i due BitchX me li sono trovati all'avvio di slack (per caso ho laciato un top, mentre installavo dei prg,, perche' mi sembrava solo un po' lento).
per bloodlust:
in effetti supponevo una cosa del genere (un trasferimento file o altro, non so). Ho cercato di controllare in /etc/rc.d/ se c'e' qualche script che li avviasse, ma niente. Ho controllato i vari cron, ma anche li' niente. Ho controllato /var/log/messages e /var/log/syslog ma anche qui niente di sospetto (a mio parere). Ho letto le .bash_history sia di root che del mio user normale e niente degno di nota. Ho pure usato rkhunter ed anche questo non mi ha dato niente. C'e' qualche file in cui andare a vedere le connessioni IRC ?
Mentre scrivo mi e' venuto in mente una cosa, ma mi sembre troppo fantasiosa.
I files che ho scaricato sono degli zip per cercare dei rootkit. E' possibile secondo te, che siano versioni "sporche"? Mah, mi sembra troppo azzardato. Grazie comunque per le risposte che mi avete dato finora.
-
michele.p
- Packager
- Messaggi: 1276
- Iscritto il: ven 24 nov 2006, 16:52
- Nome Cognome: Michele Petrecca
- Slackware: 13.37
- Kernel: 2.6.37.6
- Desktop: KDE
- Distribuzione: ..Fedora e Mandriva
- Località: Pontecorvo(FR)
- Contatta:
...beh no, la tua idea non è così fantasiosa come potresti pensare. Potrebbe darsi che il pacchetto sia stato "manipolato" ("inquinato") ed è per questo che (in genere) insieme al pacchetto software che si vuole installare viene associato anche un piccolo file di "testo" (una sequenza di lettere e numeri) alias il file md5.
Se anche dal link dove hai scaricato il "cacciatore di rootkit"
c'è un file md5 scaricalo e fai il controllo con il pacchetto del "cacciatore" che hai scaricato (installato/provato) per accertarti che non sia stato "inquinato".
Bye
Se anche dal link dove hai scaricato il "cacciatore di rootkit"
c'è un file md5 scaricalo e fai il controllo con il pacchetto del "cacciatore" che hai scaricato (installato/provato) per accertarti che non sia stato "inquinato".Bye
Allora se vuoi fare il check devi scaricare gli archivi da una macchina pulita (ne hai?) o da cd live e poi partire da questo (anche perchè se installi rkhunter o chi per esso e poi lasci la directory con dentro i sorgenti + un bel compilatore a portata di mano chiunque può nascondersi a questi strumenti).
Cerca di capire da dove e come sono entrati (altrimenti rischi di rifare lo stesso errore), magari tieniti un dump del disco da ispezionare.
Rifai la macchina pulita (ricordati di cambiare le password e revocare le chiavi) magari usando un sistema di intrusion detection passivo come AIDE per la prossima volta.
Cerca di capire da dove e come sono entrati (altrimenti rischi di rifare lo stesso errore), magari tieniti un dump del disco da ispezionare.
Rifai la macchina pulita (ricordati di cambiare le password e revocare le chiavi) magari usando un sistema di intrusion detection passivo come AIDE per la prossima volta.
Purtroppo (per me), penso che dovro' piallare gli hd dei pc interessati e soprattutto dovro' mettere in atto misure piu' sicure. Non e' che abbia cose di particolare valore in questi pc (due mi servono per prove piu' che altro ed con uno vado in internet e qui qualcosa di sensibile c'e'), ma il fatto di aver trovato quei BitchX mi "disturba assai". E non mi fido piu'. Mi spiace "smontare" la mia rete ma non vedo alternative. Grazie per le risposte ed i suggerimenti che mi avete dato.
Ora mi mettero' al "lavoro" e cerchero' ulteriori suggerimenti, magari in rete. Io uso Linux, e soprattutto Slackware da un po', ma diciamolo pure , non sono un esperto e su molti aspetti mi sento in crisi. Grazie di nuovo
Ora mi mettero' al "lavoro" e cerchero' ulteriori suggerimenti, magari in rete. Io uso Linux, e soprattutto Slackware da un po', ma diciamolo pure , non sono un esperto e su molti aspetti mi sento in crisi. Grazie di nuovo