Repository 32bit  Forum
Repository 64bit  Wiki

rootkit per mbr, rischio pure per il pinguino ?

Postate qui per tutte le discussioni legate alla sicurezza di Linux/Slackware

Moderatore: Staff

Regole del forum
1) Citare sempre la versione di Slackware usata, la versione del Kernel e magari anche la versione della libreria coinvolta. Questi dati aiutano le persone che possono rispondere.
2) Specificare se discussione/suggerimento o richiesta d'aiuto.
3) Leggere attentamente le risposte ricevute.
4) Scrivere i messaggi con il colore di default, evitare altri colori.
5) Scrivere in Italiano o in Inglese, se possibile grammaticalmente corretto, evitate stili di scrittura poco chiari, quindi nessuna abbreviazione tipo telegramma o scrittura stile SMS o CHAT.
6) Appena registrati è consigliato presentarsi nel forum dedicato.

La non osservanza delle regole porta a provvedimenti di vari tipo da parte dello staff, in particolare la non osservanza della regola 5 porta alla cancellazione del post e alla segnalazione dell'utente. In caso di recidività l'utente rischia il ban temporaneo.

rootkit per mbr, rischio pure per il pinguino ?

Messaggioda navajo » gio gen 10, 2008 17:35

http://punto-informatico.it/p.aspx?i=2155671
che ne pensate ? ho letto i post su punto informatico, ma mica mi convincono tanto..
Avatar utente
navajo
Staff
Staff
 
Messaggi: 3791
Iscritto il: gio gen 08, 2004 0:00
Località: Roma
Nome Cognome: Massimiliano
Slackware: 13.37 (x86_64)
Kernel: 2.6.37.6
Desktop: KDE 4.7.0 (Alien)

Re: rootkit per mbr, rischio pure per il pinguino ?

Messaggioda nuitari » gio gen 10, 2008 18:15

Mah, mi pare una stron*ata (autocensura .).
Innanzitutto devi avere una situazione tale per cui riescono an injettarti del codice visitando un sito web... in secondo luogo, il codice injettato deve potersi eseguire con privilegi sufficienti a scrivere sull'mbr...
Inoltre non vedo come possa attecchire su server web linux sta cosa, visto che il browser + *grosso* che si usa in remoto, ammesso di usarlo, è links.... ma onestamente non credo nessun sysadmin degno di tale nome usi più di wget.
Avatar utente
nuitari
Linux 2.6
Linux 2.6
 
Messaggi: 777
Iscritto il: dom ott 14, 2007 11:51
Località: San Colombano al Lambro
Slackware: 12.0

Re: rootkit per mbr, rischio pure per il pinguino ?

Messaggioda Mario Vanoni » gio gen 10, 2008 18:23

navajo ha scritto:http://punto-informatico.it/p.aspx?i=2155671
che ne pensate ? ho letto i post su punto informatico, ma mica mi convincono tanto..


Quanti rootkit su UNIX/Linux sono fino ad oggi stati resi noti?
E provati?

Mario Vanoni
Mario Vanoni
Iper Master
Iper Master
 
Messaggi: 3174
Iscritto il: lun set 03, 2007 20:20
Località: Cuasso al Monte (VA)
Nome Cognome: Mario Vanoni
Slackware: 12.2
Kernel: 3.0.4 statico
Desktop: fluxbox/seamonkey

Re: rootkit per mbr, rischio pure per il pinguino ?

Messaggioda neongen » gio gen 10, 2008 19:59

meno male che almeno alla symantec sono un poco più seri del giornalista di p.i.

The main problem is that some versions of Microsoft Windows allow programs to overwrite disk sectors directly (including the MBR) from user mode, without restrictions. As such, writing a new MBR into Sector 0 as a standard user is a relatively easy task. This issue has been known for quite some time, and still affects the 2K/XP families, while Vista was partially secured in 2006 (after Release Candidate 2) after a successful attack demonstration made by Joanna Rutkowska. The attack is called the “Pagefile Attack”.


n.b. l'articolo citato da p.i. indicava come sistemi a rischio solo la famiglia Windows... :roll:
Avatar utente
neongen
Packager
Packager
 
Messaggi: 826
Iscritto il: ven mag 25, 2007 11:37
Nome Cognome: Enrico
Slackware: 14.0_64
Kernel: 3.4.4
Desktop: KDE 4.5.5
Distribuzione: Maemo 5

Re: rootkit per mbr, rischio pure per il pinguino ?

Messaggioda navajo » gio gen 10, 2008 23:25

grazie a tutti per i chiarimenti
Avatar utente
navajo
Staff
Staff
 
Messaggi: 3791
Iscritto il: gio gen 08, 2004 0:00
Località: Roma
Nome Cognome: Massimiliano
Slackware: 13.37 (x86_64)
Kernel: 2.6.37.6
Desktop: KDE 4.7.0 (Alien)

Re: rootkit per mbr, rischio pure per il pinguino ?

Messaggioda tgmx » ven gen 11, 2008 10:16

Il problema a questo punto potrebbe essere un'altro:

nel mio portatile ho ancora entrambi i sistemi operativi e al lavoro a volte devo usare windows (purtroppo come amministratore del sistema e non come utente limitato); in questo modo il virus potrebbe mettersi nel mbr ed eventualmente fare danni anche durante il normale utilizzo su linux.
Avatar utente
tgmx
Linux 3.x
Linux 3.x
 
Messaggi: 1330
Iscritto il: ven apr 28, 2006 13:40
Località: Ancona
Slackware: 13.37
Desktop: KDE 4

Re: rootkit per mbr, rischio pure per il pinguino ?

Messaggioda sid77 » ven gen 11, 2008 15:13

[FLAME]l'articolo di PI è pessimo: in tutta la pagina non c'è un link diretto alla fonte della notizia che è questa http://www2.gmer.net/mbr/[/FLAME]
flame a parte, tecnicamente il funzionamento del rootkit può essere adattato per linux.

quello preso in considerazione non fa "altro" che caricare un kernel windows sopra di lui, a grandi linee quello che fa un bootloader come lilo o grub solo che invece di levarsi di torno una volta che è stato avviato il kernel, se ne rimane li a controllarlo e a modificarne il comportamento (a grandi linee, eh!).
quindi si, potrebbe benissimo uscirne una versione per linux.

il giorno che vedrà la luce, funzionerà? non lo so.
per installarsi sfrutta la possibilità di eseguire codice con diritti di amministratore, l'accoppiata win+ie offre oppurtinità a palate per fare ciò, per il pinguino è un po più difficile (ma neanche troppo :doubt: )
Avatar utente
sid77
Linux 2.6
Linux 2.6
 
Messaggi: 568
Iscritto il: mar mag 31, 2005 23:00
Località: PowerPC
Slackware: 12.0/12.1/curr (ppc)

Re: rootkit per mbr, rischio pure per il pinguino ?

Messaggioda marghe » mar gen 15, 2008 0:20

se questo articolo è corretto per funzionare sfrutta alcune vulnerabilità del boot di windows
quindi anche in dual boot avviando linux il virus non dovrebbe funzionare, anche se la machina
si è infettata con windows

http://www.pillolhacking.net/ph/index.p ... 1200232822
Avatar utente
marghe
Linux 2.6
Linux 2.6
 
Messaggi: 525
Iscritto il: lun ago 07, 2006 22:39

Re: rootkit per mbr, rischio pure per il pinguino ?

Messaggioda tgmx » mar gen 15, 2008 8:16

marghe ha scritto:se questo articolo è corretto per funzionare sfrutta alcune vulnerabilità del boot di windows
quindi anche in dual boot avviando linux il virus non dovrebbe funzionare, anche se la machina
si è infettata con windows

http://www.pillolhacking.net/ph/index.p ... 1200232822


Articolo interessante...
Avatar utente
tgmx
Linux 3.x
Linux 3.x
 
Messaggi: 1330
Iscritto il: ven apr 28, 2006 13:40
Località: Ancona
Slackware: 13.37
Desktop: KDE 4

Re: rootkit per mbr, rischio pure per il pinguino ?

Messaggioda sid77 » mar gen 15, 2008 9:21

marghe ha scritto:per funzionare sfrutta alcune vulnerabilità del boot di windows

quali? non sfrutta alcuna vulnerabilità: è questo il suo punto di forza.
è "solamente" un bootloader moddato che si mette sotto il loader di windows e ne modifica il comportamento.
per il resto, l'articolo è scritto bene :-)
Avatar utente
sid77
Linux 2.6
Linux 2.6
 
Messaggi: 568
Iscritto il: mar mag 31, 2005 23:00
Località: PowerPC
Slackware: 12.0/12.1/curr (ppc)

Re: rootkit per mbr, rischio pure per il pinguino ?

Messaggioda marghe » mar gen 15, 2008 11:04

Comunque se quello che ho letto è vero basta un fixmbr da windows per sovrascriverlo...
L'importante è avere a portata di mano poi il dvd di slackware per ripristinare lilo

IMPORTANTE: per chi non lo sapesse il comando fixmbr cancella lilo e permette
di avviare soltanto windows... quindi prima di farlo imparare a ripristinare lilo
Avatar utente
marghe
Linux 2.6
Linux 2.6
 
Messaggi: 525
Iscritto il: lun ago 07, 2006 22:39

Re: rootkit per mbr, rischio pure per il pinguino ?

Messaggioda tgmx » mar gen 15, 2008 17:18

marghe ha scritto:Comunque se quello che ho letto è vero basta un fixmbr da windows per sovrascriverlo...
L'importante è avere a portata di mano poi il dvd di slackware per ripristinare lilo

IMPORTANTE: per chi non lo sapesse il comando fixmbr cancella lilo e permette
di avviare soltanto windows... quindi prima di farlo imparare a ripristinare lilo


Ma a questo punto non basta lanciare "lilo" per reinstallarlo? Almeno per chi è solito installare lilo nel MBR?
Avatar utente
tgmx
Linux 3.x
Linux 3.x
 
Messaggi: 1330
Iscritto il: ven apr 28, 2006 13:40
Località: Ancona
Slackware: 13.37
Desktop: KDE 4

Re: rootkit per mbr, rischio pure per il pinguino ?

Messaggioda marghe » mer gen 16, 2008 0:36

Si basta lanciare lilo per reinstallarlo nell'mbr (lilo), ma se tu prima hai dato fixmbr da windows non riuscirai
più ad avviare slackware, quindi dovrai bootare dal dvd di slackware chrootare nella tua root e lanciare lilo,
a quel punto lilo tornerà a funzionare

può darsi darsi che lanciando lilo direttamente vada a sovrascrivere l'eventuale rootkit, ma questo non lo so
io ho letto che fixmbr lo sovrascriveva

comunque il rootkit risiede nei settori 0 e 61, credo che l'mbr vada da 0 a 62,

SUPPONGO che lilo utilizzi lo 0 il che vuol dire secondo me che chi si infetta col rootkit già non ha più
lilo ma si ci avvia direttamente il pc con windows....

comunque le mie sono supposizioni... e sei hai dubbi di averlo pescato io farei un fixmbr da win riavvierei col dvd
e lancerei lilo... magari è esagerato però così dovresti essere tranquillo...
Avatar utente
marghe
Linux 2.6
Linux 2.6
 
Messaggi: 525
Iscritto il: lun ago 07, 2006 22:39

Re: rootkit per mbr, rischio pure per il pinguino ?

Messaggioda zetsu » mer gen 23, 2008 21:31

marghe ha scritto:comunque il rootkit risiede nei settori 0 e 61, credo che l'mbr vada da 0 a 62,

SUPPONGO che lilo utilizzi lo 0 il che vuol dire secondo me che chi si infetta col rootkit già non ha più
lilo ma si ci avvia direttamente il pc con windows....

secondo me no, infatti il rootkit (se non ho capito male) prima copia il settore 0 nel 62 poi si installa nello 0, ma al riavvio il rootkit fa partire dopo di se il settore 62... quindi lilo...
sbaglio? :-k
Avatar utente
zetsu
Linux 1.0
Linux 1.0
 
Messaggi: 72
Iscritto il: sab gen 05, 2008 9:14
Località: Portogruaro (VE) / Udine
Slackware: 12.2
Kernel: 2.6.27.10
Desktop: kde 3.5.9

Re: rootkit per mbr, rischio pure per il pinguino ?

Messaggioda marghe » gio gen 24, 2008 11:48

zetsu ha scritto:al riavvio il rootkit fa partire dopo di se il settore 62...


Io non l'ho capito così... il settore 62 è una copia dell'MBR originale utilizzata dal rootkit
per nascondersi e per nient'altro, almeno così ho capito dall'articolo linkato sopra...
Avatar utente
marghe
Linux 2.6
Linux 2.6
 
Messaggi: 525
Iscritto il: lun ago 07, 2006 22:39

Prossimo

Torna a Sicurezza

Chi c’è in linea

Visitano il forum: Nessuno e 1 ospite