Repository 32bit  Forum
Repository 64bit  Wiki

rootkit nel mio pc?

Postate qui per tutte le discussioni legate alla sicurezza di Linux/Slackware

Moderatore: Staff

Regole del forum
1) Citare sempre la versione di Slackware usata, la versione del Kernel e magari anche la versione della libreria coinvolta. Questi dati aiutano le persone che possono rispondere.
2) Specificare se discussione/suggerimento o richiesta d'aiuto.
3) Leggere attentamente le risposte ricevute.
4) Scrivere i messaggi con il colore di default, evitare altri colori.
5) Scrivere in Italiano o in Inglese, se possibile grammaticalmente corretto, evitate stili di scrittura poco chiari, quindi nessuna abbreviazione tipo telegramma o scrittura stile SMS o CHAT.
6) Appena registrati è consigliato presentarsi nel forum dedicato.

La non osservanza delle regole porta a provvedimenti di vari tipo da parte dello staff, in particolare la non osservanza della regola 5 porta alla cancellazione del post e alla segnalazione dell'utente. In caso di recidività l'utente rischia il ban temporaneo.

rootkit nel mio pc?

Messaggioda xgugux » sab ott 27, 2007 18:15

Salve a tutti. Il mio problema e' questo. Abbiamo un router adsl e dietro una lan.
Dal mio pc (slack 12.0) oggi ho scaricato tre files dal mio disco remoto (tin.it) e poi dovevo installarli. Niente di particolare, pero' ho notato che l'installazione andava a rilento e cosi' ho lanciato top. Ho trovato in testa due processi BitchX, che a malapena so cosa sono. Tutti e due lanciati da root. Io non ho mai usati irc di qualche tipo e so soltanto a cosa servono, e mi fermo li'. Quindi mi sono allarmato.
Ho eseguito rkhunter, ma non ha rilevato niente di particolare tranne gli warning su group, ldd, whatis e adduser (dai post precedenti sembrano irrilevanti). Qualcuno sa dirmi qualcosa di piu', su cosa e come possa essere successo. Posso solo aggiungere che il giono prima ho chattato con messenger con un mio amico indiano, ma questo l'ho fatto sotto windows e su un altro pc, che utilizza pero' il mio come gateway per andare poi in internet. Non ho notato mulfunzionamenti strani, ma la cosa mi preoccupa assai (due BitchX lanciati come root, che fanno??). Consigli?
grazie
xgugux
Linux 1.0
Linux 1.0
 
Messaggi: 7
Iscritto il: mer giu 02, 2004 23:00

Messaggioda michele.p » sab ott 27, 2007 18:31

...prova a "killarli"; da root lancia

kill -9 ID_dei_processi

Ad esempio lanciando il comando;

ps aux

nella seconda colonna troverai l'ID del processo. Prendi nota dei processi BitchX e li killi con il comando che ti ho riportato poco sopra.

Bye 8)
Avatar utente
michele.p
Packager
Packager
 
Messaggi: 1275
Iscritto il: ven nov 24, 2006 16:52
Località: Pontecorvo(FR)
Nome Cognome: Michele Petrecca
Slackware: 13.37
Kernel: 2.6.37.6
Desktop: KDE
Distribuzione: ..Fedora e Mandriva

Messaggioda xgugux » sab ott 27, 2007 21:59

In effetti li ho subito "terminati", ma mi rode il fatto che non riesco a capire cosa e' successo. E soprattutto perche' i due processi erano invisibili (avevo solo tty1 da cui ho lanciato fluxbox). Ho pure controllato il file "messages" nella directory dei log. C'erano stati alcuni tentativi di accesso provenienti dalla Cina, ma tutti infruttuosi, perche' il giorno 25 ottobre avevo lasciato attivo un server ssh(mi serviva per la connessione remota). Stamattina il pc era spento, ed quando l'ho acceso mi sono trovato 'sta cosa infausta. Io non ho le conoscenze per andare tanto in la'. Ho cercato su google e poi ho esaminato alcuni file nel mio pc, ma non riesco e non so se e' possibile trovare chi ha mandato in esecuzione i due Bitchx (forse sono due processi legati insieme ed in effetti si tratterebbe soltanto di un unico BitchX, non lo so, e' una idea). Comunque il fatto e' che c'erano. E pure invisibili. Forse ho fatto male a killarli subito, avrei dovuto prendere piu' note, ma sono rimasto molto sorpreso ed ho preferito non tardare. Magari qualcuno piu' esperto in queste cose sa per cosa sono usati o altro. Grazie comunque
xgugux
Linux 1.0
Linux 1.0
 
Messaggi: 7
Iscritto il: mer giu 02, 2004 23:00

Messaggioda xgugux » sab ott 27, 2007 22:12

Aggiungo che nella home ho trovato una directory .BitchX (presumo creata quando ho installato slack 12.0 oppure quando si lancia BitchX per la prima volta). Ma dento questa c'e' un'altra directory nominata "screen" che e' vuota, ma stranamente appartiene a root:root.
ciao
xgugux
Linux 1.0
Linux 1.0
 
Messaggi: 7
Iscritto il: mer giu 02, 2004 23:00

Messaggioda michele.p » dom ott 28, 2007 19:28

...cancellala o rinominala...e vedi che succede all'avvio successivo...

Bye 8)
Avatar utente
michele.p
Packager
Packager
 
Messaggi: 1275
Iscritto il: ven nov 24, 2006 16:52
Località: Pontecorvo(FR)
Nome Cognome: Michele Petrecca
Slackware: 13.37
Kernel: 2.6.37.6
Desktop: KDE
Distribuzione: ..Fedora e Mandriva

Messaggioda xgugux » lun ott 29, 2007 12:47

La directory ~/.BitchX viene creata quando esegui BitchX per la prima volta e la sottocartella "screens" viene creata quando effettui una connessione ad un channel
bye
xgugux
Linux 1.0
Linux 1.0
 
Messaggi: 7
Iscritto il: mer giu 02, 2004 23:00

Messaggioda michele.p » lun ott 29, 2007 23:29

...ma BitchX viene eseguito all'avvio oppure parte durante il normale uso della distro?

Bye 8)
Avatar utente
michele.p
Packager
Packager
 
Messaggi: 1275
Iscritto il: ven nov 24, 2006 16:52
Località: Pontecorvo(FR)
Nome Cognome: Michele Petrecca
Slackware: 13.37
Kernel: 2.6.37.6
Desktop: KDE
Distribuzione: ..Fedora e Mandriva

Re: rootkit nel mio pc?

Messaggioda bloodlust » mar ott 30, 2007 0:39

xgugux ha scritto:due BitchX lanciati come root, che fanno??
servono per il controllo remoto del tuo "zombie" tramite un chan IRC.
Se chi è entrato non è un esperto (cosa palese visto che i processi utilizzati sono visibili con un semplice top) avrà lasciato ben altre tracce.
Inizia a controllare la history della shell e i file in /var/log.
Controlla cos'altro gira sulla macchina (anche servizi con nomi conosciuti visto che la cosa più ovvia è usare un binario con il nome di un servizio noto in modo da non destare sospetti in un individuo inesperto) e i file eseguibili con il suid bit impostato.
Puoi risalire all'indirizzo del server IRC (che sarà molto probabilmente protetto da password) controllando le connessioni.
bloodlust
Linux 2.6
Linux 2.6
 
Messaggi: 523
Iscritto il: mar feb 14, 2006 12:02
Località: it_IT
Slackware: -1

Messaggioda xgugux » mer ott 31, 2007 18:12

per michele.p:
i due BitchX me li sono trovati all'avvio di slack (per caso ho laciato un top, mentre installavo dei prg,, perche' mi sembrava solo un po' lento).

per bloodlust:
in effetti supponevo una cosa del genere (un trasferimento file o altro, non so). Ho cercato di controllare in /etc/rc.d/ se c'e' qualche script che li avviasse, ma niente. Ho controllato i vari cron, ma anche li' niente. Ho controllato /var/log/messages e /var/log/syslog ma anche qui niente di sospetto (a mio parere). Ho letto le .bash_history sia di root che del mio user normale e niente degno di nota. Ho pure usato rkhunter ed anche questo non mi ha dato niente. C'e' qualche file in cui andare a vedere le connessioni IRC ?
Mentre scrivo mi e' venuto in mente una cosa, ma mi sembre troppo fantasiosa.
I files che ho scaricato sono degli zip per cercare dei rootkit. E' possibile secondo te, che siano versioni "sporche"? Mah, mi sembra troppo azzardato. Grazie comunque per le risposte che mi avete dato finora.
xgugux
Linux 1.0
Linux 1.0
 
Messaggi: 7
Iscritto il: mer giu 02, 2004 23:00

Messaggioda michele.p » mer ott 31, 2007 22:56

...beh no, la tua idea non è così fantasiosa come potresti pensare. Potrebbe darsi che il pacchetto sia stato "manipolato" ("inquinato") ed è per questo che (in genere) insieme al pacchetto software che si vuole installare viene associato anche un piccolo file di "testo" (una sequenza di lettere e numeri) alias il file md5.
Se anche dal link dove hai scaricato il "cacciatore di rootkit" :D c'è un file md5 scaricalo e fai il controllo con il pacchetto del "cacciatore" che hai scaricato (installato/provato) per accertarti che non sia stato "inquinato".

Bye
Avatar utente
michele.p
Packager
Packager
 
Messaggi: 1275
Iscritto il: ven nov 24, 2006 16:52
Località: Pontecorvo(FR)
Nome Cognome: Michele Petrecca
Slackware: 13.37
Kernel: 2.6.37.6
Desktop: KDE
Distribuzione: ..Fedora e Mandriva

Messaggioda xgugux » gio nov 01, 2007 17:43

ho controllato gli md5 dei tarball scaricati con quelli prelevati da sourceforge e dal sito di chkrootkit. Sembrano a posto (ho utilizzato il comando md5sum nomefile: spero si faccia cosi').
ciao
xgugux
Linux 1.0
Linux 1.0
 
Messaggi: 7
Iscritto il: mer giu 02, 2004 23:00

Messaggioda bloodlust » ven nov 09, 2007 3:20

Allora se vuoi fare il check devi scaricare gli archivi da una macchina pulita (ne hai?) o da cd live e poi partire da questo (anche perchè se installi rkhunter o chi per esso e poi lasci la directory con dentro i sorgenti + un bel compilatore a portata di mano chiunque può nascondersi a questi strumenti).
Cerca di capire da dove e come sono entrati (altrimenti rischi di rifare lo stesso errore), magari tieniti un dump del disco da ispezionare.
Rifai la macchina pulita (ricordati di cambiare le password e revocare le chiavi) magari usando un sistema di intrusion detection passivo come AIDE per la prossima volta.
bloodlust
Linux 2.6
Linux 2.6
 
Messaggi: 523
Iscritto il: mar feb 14, 2006 12:02
Località: it_IT
Slackware: -1

Messaggioda xgugux » sab nov 10, 2007 11:05

Purtroppo (per me), penso che dovro' piallare gli hd dei pc interessati e soprattutto dovro' mettere in atto misure piu' sicure. Non e' che abbia cose di particolare valore in questi pc (due mi servono per prove piu' che altro ed con uno vado in internet e qui qualcosa di sensibile c'e'), ma il fatto di aver trovato quei BitchX mi "disturba assai". E non mi fido piu'. Mi spiace "smontare" la mia rete ma non vedo alternative. Grazie per le risposte ed i suggerimenti che mi avete dato.
Ora mi mettero' al "lavoro" e cerchero' ulteriori suggerimenti, magari in rete. Io uso Linux, e soprattutto Slackware da un po', ma diciamolo pure , non sono un esperto e su molti aspetti mi sento in crisi. Grazie di nuovo
xgugux
Linux 1.0
Linux 1.0
 
Messaggi: 7
Iscritto il: mer giu 02, 2004 23:00


Torna a Sicurezza

Chi c’è in linea

Visitano il forum: Nessuno e 2 ospiti