rootkit per mbr, rischio pure per il pinguino ?
Moderatore: Staff
Regole del forum
1) Citare sempre la versione di Slackware usata, la versione del Kernel e magari anche la versione della libreria coinvolta. Questi dati aiutano le persone che possono rispondere.
2) Specificare se discussione/suggerimento o richiesta d'aiuto.
3) Leggere attentamente le risposte ricevute.
4) Scrivere i messaggi con il colore di default, evitare altri colori.
5) Scrivere in Italiano o in Inglese, se possibile grammaticalmente corretto, evitate stili di scrittura poco chiari, quindi nessuna abbreviazione tipo telegramma o scrittura stile SMS o CHAT.
6) Appena registrati è consigliato presentarsi nel forum dedicato.
La non osservanza delle regole porta a provvedimenti di vari tipo da parte dello staff, in particolare la non osservanza della regola 5 porta alla cancellazione del post e alla segnalazione dell'utente. In caso di recidività l'utente rischia il ban temporaneo.
1) Citare sempre la versione di Slackware usata, la versione del Kernel e magari anche la versione della libreria coinvolta. Questi dati aiutano le persone che possono rispondere.
2) Specificare se discussione/suggerimento o richiesta d'aiuto.
3) Leggere attentamente le risposte ricevute.
4) Scrivere i messaggi con il colore di default, evitare altri colori.
5) Scrivere in Italiano o in Inglese, se possibile grammaticalmente corretto, evitate stili di scrittura poco chiari, quindi nessuna abbreviazione tipo telegramma o scrittura stile SMS o CHAT.
6) Appena registrati è consigliato presentarsi nel forum dedicato.
La non osservanza delle regole porta a provvedimenti di vari tipo da parte dello staff, in particolare la non osservanza della regola 5 porta alla cancellazione del post e alla segnalazione dell'utente. In caso di recidività l'utente rischia il ban temporaneo.
- navajo
- Staff
- Messaggi: 3884
- Iscritto il: gio 8 gen 2004, 0:00
- Nome Cognome: Massimiliano
- Slackware: 13.37 (x86_64)
- Kernel: 2.6.37.6
- Desktop: KDE 4.7.0 (Alien)
- Località: Roma
rootkit per mbr, rischio pure per il pinguino ?
http://punto-informatico.it/p.aspx?i=2155671
che ne pensate ? ho letto i post su punto informatico, ma mica mi convincono tanto..
che ne pensate ? ho letto i post su punto informatico, ma mica mi convincono tanto..
- nuitari
- Linux 3.x
- Messaggi: 777
- Iscritto il: dom 14 ott 2007, 12:51
- Slackware: 12.0
- Località: San Colombano al Lambro
- Contatta:
Re: rootkit per mbr, rischio pure per il pinguino ?
Mah, mi pare una stron*ata (autocensura .).
Innanzitutto devi avere una situazione tale per cui riescono an injettarti del codice visitando un sito web... in secondo luogo, il codice injettato deve potersi eseguire con privilegi sufficienti a scrivere sull'mbr...
Inoltre non vedo come possa attecchire su server web linux sta cosa, visto che il browser + *grosso* che si usa in remoto, ammesso di usarlo, è links.... ma onestamente non credo nessun sysadmin degno di tale nome usi più di wget.
Innanzitutto devi avere una situazione tale per cui riescono an injettarti del codice visitando un sito web... in secondo luogo, il codice injettato deve potersi eseguire con privilegi sufficienti a scrivere sull'mbr...
Inoltre non vedo come possa attecchire su server web linux sta cosa, visto che il browser + *grosso* che si usa in remoto, ammesso di usarlo, è links.... ma onestamente non credo nessun sysadmin degno di tale nome usi più di wget.
-
- Iper Master
- Messaggi: 3174
- Iscritto il: lun 3 set 2007, 21:20
- Nome Cognome: Mario Vanoni
- Slackware: 12.2
- Kernel: 3.0.4 statico
- Desktop: fluxbox/seamonkey
- Località: Cuasso al Monte (VA)
Re: rootkit per mbr, rischio pure per il pinguino ?
Quanti rootkit su UNIX/Linux sono fino ad oggi stati resi noti?navajo ha scritto:http://punto-informatico.it/p.aspx?i=2155671
che ne pensate ? ho letto i post su punto informatico, ma mica mi convincono tanto..
E provati?
Mario Vanoni
- neongen
- Packager
- Messaggi: 827
- Iscritto il: ven 25 mag 2007, 12:37
- Nome Cognome: Enrico
- Slackware: 14.0_64
- Kernel: 3.4.4
- Desktop: KDE 4.5.5
- Distribuzione: Maemo 5
- Contatta:
Re: rootkit per mbr, rischio pure per il pinguino ?
meno male che almeno alla symantec sono un poco più seri del giornalista di p.i.
n.b. l'articolo citato da p.i. indicava come sistemi a rischio solo la famiglia Windows...The main problem is that some versions of Microsoft Windows allow programs to overwrite disk sectors directly (including the MBR) from user mode, without restrictions. As such, writing a new MBR into Sector 0 as a standard user is a relatively easy task. This issue has been known for quite some time, and still affects the 2K/XP families, while Vista was partially secured in 2006 (after Release Candidate 2) after a successful attack demonstration made by Joanna Rutkowska. The attack is called the “Pagefile Attackâ€.
- navajo
- Staff
- Messaggi: 3884
- Iscritto il: gio 8 gen 2004, 0:00
- Nome Cognome: Massimiliano
- Slackware: 13.37 (x86_64)
- Kernel: 2.6.37.6
- Desktop: KDE 4.7.0 (Alien)
- Località: Roma
Re: rootkit per mbr, rischio pure per il pinguino ?
grazie a tutti per i chiarimenti
- tgmx
- Linux 4.x
- Messaggi: 1336
- Iscritto il: ven 28 apr 2006, 14:40
- Slackware: 14.1
- Desktop: KDE 4
- Località: Ancona
Re: rootkit per mbr, rischio pure per il pinguino ?
Il problema a questo punto potrebbe essere un'altro:
nel mio portatile ho ancora entrambi i sistemi operativi e al lavoro a volte devo usare windows (purtroppo come amministratore del sistema e non come utente limitato); in questo modo il virus potrebbe mettersi nel mbr ed eventualmente fare danni anche durante il normale utilizzo su linux.
nel mio portatile ho ancora entrambi i sistemi operativi e al lavoro a volte devo usare windows (purtroppo come amministratore del sistema e non come utente limitato); in questo modo il virus potrebbe mettersi nel mbr ed eventualmente fare danni anche durante il normale utilizzo su linux.
- sid77
- Linux 3.x
- Messaggi: 568
- Iscritto il: mer 1 giu 2005, 0:00
- Slackware: 12.0/12.1/curr (ppc)
- Località: PowerPC
- Contatta:
Re: rootkit per mbr, rischio pure per il pinguino ?
[FLAME]l'articolo di PI è pessimo: in tutta la pagina non c'è un link diretto alla fonte della notizia che è questa http://www2.gmer.net/mbr/[/FLAME]
flame a parte, tecnicamente il funzionamento del rootkit può essere adattato per linux.
quello preso in considerazione non fa "altro" che caricare un kernel windows sopra di lui, a grandi linee quello che fa un bootloader come lilo o grub solo che invece di levarsi di torno una volta che è stato avviato il kernel, se ne rimane li a controllarlo e a modificarne il comportamento (a grandi linee, eh!).
quindi si, potrebbe benissimo uscirne una versione per linux.
il giorno che vedrà la luce, funzionerà? non lo so.
per installarsi sfrutta la possibilità di eseguire codice con diritti di amministratore, l'accoppiata win+ie offre oppurtinità a palate per fare ciò, per il pinguino è un po più difficile (ma neanche troppo )
flame a parte, tecnicamente il funzionamento del rootkit può essere adattato per linux.
quello preso in considerazione non fa "altro" che caricare un kernel windows sopra di lui, a grandi linee quello che fa un bootloader come lilo o grub solo che invece di levarsi di torno una volta che è stato avviato il kernel, se ne rimane li a controllarlo e a modificarne il comportamento (a grandi linee, eh!).
quindi si, potrebbe benissimo uscirne una versione per linux.
il giorno che vedrà la luce, funzionerà? non lo so.
per installarsi sfrutta la possibilità di eseguire codice con diritti di amministratore, l'accoppiata win+ie offre oppurtinità a palate per fare ciò, per il pinguino è un po più difficile (ma neanche troppo )
Re: rootkit per mbr, rischio pure per il pinguino ?
se questo articolo è corretto per funzionare sfrutta alcune vulnerabilità del boot di windows
quindi anche in dual boot avviando linux il virus non dovrebbe funzionare, anche se la machina
si è infettata con windows
http://www.pillolhacking.net/ph/index.p ... 1200232822
quindi anche in dual boot avviando linux il virus non dovrebbe funzionare, anche se la machina
si è infettata con windows
http://www.pillolhacking.net/ph/index.p ... 1200232822
- tgmx
- Linux 4.x
- Messaggi: 1336
- Iscritto il: ven 28 apr 2006, 14:40
- Slackware: 14.1
- Desktop: KDE 4
- Località: Ancona
Re: rootkit per mbr, rischio pure per il pinguino ?
Articolo interessante...marghe ha scritto:se questo articolo è corretto per funzionare sfrutta alcune vulnerabilità del boot di windows
quindi anche in dual boot avviando linux il virus non dovrebbe funzionare, anche se la machina
si è infettata con windows
http://www.pillolhacking.net/ph/index.p ... 1200232822
- sid77
- Linux 3.x
- Messaggi: 568
- Iscritto il: mer 1 giu 2005, 0:00
- Slackware: 12.0/12.1/curr (ppc)
- Località: PowerPC
- Contatta:
Re: rootkit per mbr, rischio pure per il pinguino ?
quali? non sfrutta alcuna vulnerabilità: è questo il suo punto di forza.marghe ha scritto:per funzionare sfrutta alcune vulnerabilità del boot di windows
è "solamente" un bootloader moddato che si mette sotto il loader di windows e ne modifica il comportamento.
per il resto, l'articolo è scritto bene
Re: rootkit per mbr, rischio pure per il pinguino ?
Comunque se quello che ho letto è vero basta un fixmbr da windows per sovrascriverlo...
L'importante è avere a portata di mano poi il dvd di slackware per ripristinare lilo
IMPORTANTE: per chi non lo sapesse il comando fixmbr cancella lilo e permette
di avviare soltanto windows... quindi prima di farlo imparare a ripristinare lilo
L'importante è avere a portata di mano poi il dvd di slackware per ripristinare lilo
IMPORTANTE: per chi non lo sapesse il comando fixmbr cancella lilo e permette
di avviare soltanto windows... quindi prima di farlo imparare a ripristinare lilo
- tgmx
- Linux 4.x
- Messaggi: 1336
- Iscritto il: ven 28 apr 2006, 14:40
- Slackware: 14.1
- Desktop: KDE 4
- Località: Ancona
Re: rootkit per mbr, rischio pure per il pinguino ?
Ma a questo punto non basta lanciare "lilo" per reinstallarlo? Almeno per chi è solito installare lilo nel MBR?marghe ha scritto:Comunque se quello che ho letto è vero basta un fixmbr da windows per sovrascriverlo...
L'importante è avere a portata di mano poi il dvd di slackware per ripristinare lilo
IMPORTANTE: per chi non lo sapesse il comando fixmbr cancella lilo e permette
di avviare soltanto windows... quindi prima di farlo imparare a ripristinare lilo
Re: rootkit per mbr, rischio pure per il pinguino ?
Si basta lanciare lilo per reinstallarlo nell'mbr (lilo), ma se tu prima hai dato fixmbr da windows non riuscirai
più ad avviare slackware, quindi dovrai bootare dal dvd di slackware chrootare nella tua root e lanciare lilo,
a quel punto lilo tornerà a funzionare
può darsi darsi che lanciando lilo direttamente vada a sovrascrivere l'eventuale rootkit, ma questo non lo so
io ho letto che fixmbr lo sovrascriveva
comunque il rootkit risiede nei settori 0 e 61, credo che l'mbr vada da 0 a 62,
SUPPONGO che lilo utilizzi lo 0 il che vuol dire secondo me che chi si infetta col rootkit già non ha più
lilo ma si ci avvia direttamente il pc con windows....
comunque le mie sono supposizioni... e sei hai dubbi di averlo pescato io farei un fixmbr da win riavvierei col dvd
e lancerei lilo... magari è esagerato però così dovresti essere tranquillo...
più ad avviare slackware, quindi dovrai bootare dal dvd di slackware chrootare nella tua root e lanciare lilo,
a quel punto lilo tornerà a funzionare
può darsi darsi che lanciando lilo direttamente vada a sovrascrivere l'eventuale rootkit, ma questo non lo so
io ho letto che fixmbr lo sovrascriveva
comunque il rootkit risiede nei settori 0 e 61, credo che l'mbr vada da 0 a 62,
SUPPONGO che lilo utilizzi lo 0 il che vuol dire secondo me che chi si infetta col rootkit già non ha più
lilo ma si ci avvia direttamente il pc con windows....
comunque le mie sono supposizioni... e sei hai dubbi di averlo pescato io farei un fixmbr da win riavvierei col dvd
e lancerei lilo... magari è esagerato però così dovresti essere tranquillo...
- zetsu
- Linux 0.x
- Messaggi: 72
- Iscritto il: sab 5 gen 2008, 9:14
- Slackware: 12.2
- Kernel: 2.6.27.10
- Desktop: kde 3.5.9
- Località: Portogruaro (VE) / Udine
Re: rootkit per mbr, rischio pure per il pinguino ?
secondo me no, infatti il rootkit (se non ho capito male) prima copia il settore 0 nel 62 poi si installa nello 0, ma al riavvio il rootkit fa partire dopo di se il settore 62... quindi lilo...marghe ha scritto: comunque il rootkit risiede nei settori 0 e 61, credo che l'mbr vada da 0 a 62,
SUPPONGO che lilo utilizzi lo 0 il che vuol dire secondo me che chi si infetta col rootkit già non ha più
lilo ma si ci avvia direttamente il pc con windows....
sbaglio?
Re: rootkit per mbr, rischio pure per il pinguino ?
Io non l'ho capito così... il settore 62 è una copia dell'MBR originale utilizzata dal rootkitzetsu ha scritto: al riavvio il rootkit fa partire dopo di se il settore 62...
per nascondersi e per nient'altro, almeno così ho capito dall'articolo linkato sopra...