rootkit per mbr, rischio pure per il pinguino ?

Postate qui per tutte le discussioni legate alla sicurezza di Linux/Slackware

Moderatore: Staff

Regole del forum
1) Citare sempre la versione di Slackware usata, la versione del Kernel e magari anche la versione della libreria coinvolta. Questi dati aiutano le persone che possono rispondere.
2) Specificare se discussione/suggerimento o richiesta d'aiuto.
3) Leggere attentamente le risposte ricevute.
4) Scrivere i messaggi con il colore di default, evitare altri colori.
5) Scrivere in Italiano o in Inglese, se possibile grammaticalmente corretto, evitate stili di scrittura poco chiari, quindi nessuna abbreviazione tipo telegramma o scrittura stile SMS o CHAT.
6) Appena registrati è consigliato presentarsi nel forum dedicato.

La non osservanza delle regole porta a provvedimenti di vari tipo da parte dello staff, in particolare la non osservanza della regola 5 porta alla cancellazione del post e alla segnalazione dell'utente. In caso di recidività l'utente rischia il ban temporaneo.
Avatar utente
navajo
Staff
Staff
Messaggi: 3884
Iscritto il: gio 8 gen 2004, 0:00
Nome Cognome: Massimiliano
Slackware: 13.37 (x86_64)
Kernel: 2.6.37.6
Desktop: KDE 4.7.0 (Alien)
Località: Roma

rootkit per mbr, rischio pure per il pinguino ?

Messaggio da navajo »

http://punto-informatico.it/p.aspx?i=2155671
che ne pensate ? ho letto i post su punto informatico, ma mica mi convincono tanto..

Avatar utente
nuitari
Linux 3.x
Linux 3.x
Messaggi: 777
Iscritto il: dom 14 ott 2007, 12:51
Slackware: 12.0
Località: San Colombano al Lambro
Contatta:

Re: rootkit per mbr, rischio pure per il pinguino ?

Messaggio da nuitari »

Mah, mi pare una stron*ata (autocensura .).
Innanzitutto devi avere una situazione tale per cui riescono an injettarti del codice visitando un sito web... in secondo luogo, il codice injettato deve potersi eseguire con privilegi sufficienti a scrivere sull'mbr...
Inoltre non vedo come possa attecchire su server web linux sta cosa, visto che il browser + *grosso* che si usa in remoto, ammesso di usarlo, è links.... ma onestamente non credo nessun sysadmin degno di tale nome usi più di wget.

Mario Vanoni
Iper Master
Iper Master
Messaggi: 3174
Iscritto il: lun 3 set 2007, 21:20
Nome Cognome: Mario Vanoni
Slackware: 12.2
Kernel: 3.0.4 statico
Desktop: fluxbox/seamonkey
Località: Cuasso al Monte (VA)

Re: rootkit per mbr, rischio pure per il pinguino ?

Messaggio da Mario Vanoni »

navajo ha scritto:http://punto-informatico.it/p.aspx?i=2155671
che ne pensate ? ho letto i post su punto informatico, ma mica mi convincono tanto..
Quanti rootkit su UNIX/Linux sono fino ad oggi stati resi noti?
E provati?

Mario Vanoni

Avatar utente
neongen
Packager
Packager
Messaggi: 827
Iscritto il: ven 25 mag 2007, 12:37
Nome Cognome: Enrico
Slackware: 14.0_64
Kernel: 3.4.4
Desktop: KDE 4.5.5
Distribuzione: Maemo 5
Contatta:

Re: rootkit per mbr, rischio pure per il pinguino ?

Messaggio da neongen »

meno male che almeno alla symantec sono un poco più seri del giornalista di p.i.
The main problem is that some versions of Microsoft Windows allow programs to overwrite disk sectors directly (including the MBR) from user mode, without restrictions. As such, writing a new MBR into Sector 0 as a standard user is a relatively easy task. This issue has been known for quite some time, and still affects the 2K/XP families, while Vista was partially secured in 2006 (after Release Candidate 2) after a successful attack demonstration made by Joanna Rutkowska. The attack is called the “Pagefile Attack”.
n.b. l'articolo citato da p.i. indicava come sistemi a rischio solo la famiglia Windows... :roll:

Avatar utente
navajo
Staff
Staff
Messaggi: 3884
Iscritto il: gio 8 gen 2004, 0:00
Nome Cognome: Massimiliano
Slackware: 13.37 (x86_64)
Kernel: 2.6.37.6
Desktop: KDE 4.7.0 (Alien)
Località: Roma

Re: rootkit per mbr, rischio pure per il pinguino ?

Messaggio da navajo »

grazie a tutti per i chiarimenti

Avatar utente
tgmx
Linux 4.x
Linux 4.x
Messaggi: 1336
Iscritto il: ven 28 apr 2006, 14:40
Slackware: 14.1
Desktop: KDE 4
Località: Ancona

Re: rootkit per mbr, rischio pure per il pinguino ?

Messaggio da tgmx »

Il problema a questo punto potrebbe essere un'altro:

nel mio portatile ho ancora entrambi i sistemi operativi e al lavoro a volte devo usare windows (purtroppo come amministratore del sistema e non come utente limitato); in questo modo il virus potrebbe mettersi nel mbr ed eventualmente fare danni anche durante il normale utilizzo su linux.

Avatar utente
sid77
Linux 3.x
Linux 3.x
Messaggi: 568
Iscritto il: mer 1 giu 2005, 0:00
Slackware: 12.0/12.1/curr (ppc)
Località: PowerPC
Contatta:

Re: rootkit per mbr, rischio pure per il pinguino ?

Messaggio da sid77 »

[FLAME]l'articolo di PI è pessimo: in tutta la pagina non c'è un link diretto alla fonte della notizia che è questa http://www2.gmer.net/mbr/[/FLAME]
flame a parte, tecnicamente il funzionamento del rootkit può essere adattato per linux.

quello preso in considerazione non fa "altro" che caricare un kernel windows sopra di lui, a grandi linee quello che fa un bootloader come lilo o grub solo che invece di levarsi di torno una volta che è stato avviato il kernel, se ne rimane li a controllarlo e a modificarne il comportamento (a grandi linee, eh!).
quindi si, potrebbe benissimo uscirne una versione per linux.

il giorno che vedrà la luce, funzionerà? non lo so.
per installarsi sfrutta la possibilità di eseguire codice con diritti di amministratore, l'accoppiata win+ie offre oppurtinità a palate per fare ciò, per il pinguino è un po più difficile (ma neanche troppo :doubt: )

Avatar utente
marghe
Linux 3.x
Linux 3.x
Messaggi: 525
Iscritto il: lun 7 ago 2006, 23:39

Re: rootkit per mbr, rischio pure per il pinguino ?

Messaggio da marghe »

se questo articolo è corretto per funzionare sfrutta alcune vulnerabilità del boot di windows
quindi anche in dual boot avviando linux il virus non dovrebbe funzionare, anche se la machina
si è infettata con windows

http://www.pillolhacking.net/ph/index.p ... 1200232822

Avatar utente
tgmx
Linux 4.x
Linux 4.x
Messaggi: 1336
Iscritto il: ven 28 apr 2006, 14:40
Slackware: 14.1
Desktop: KDE 4
Località: Ancona

Re: rootkit per mbr, rischio pure per il pinguino ?

Messaggio da tgmx »

marghe ha scritto:se questo articolo è corretto per funzionare sfrutta alcune vulnerabilità del boot di windows
quindi anche in dual boot avviando linux il virus non dovrebbe funzionare, anche se la machina
si è infettata con windows

http://www.pillolhacking.net/ph/index.p ... 1200232822
Articolo interessante...

Avatar utente
sid77
Linux 3.x
Linux 3.x
Messaggi: 568
Iscritto il: mer 1 giu 2005, 0:00
Slackware: 12.0/12.1/curr (ppc)
Località: PowerPC
Contatta:

Re: rootkit per mbr, rischio pure per il pinguino ?

Messaggio da sid77 »

marghe ha scritto:per funzionare sfrutta alcune vulnerabilità del boot di windows
quali? non sfrutta alcuna vulnerabilità: è questo il suo punto di forza.
è "solamente" un bootloader moddato che si mette sotto il loader di windows e ne modifica il comportamento.
per il resto, l'articolo è scritto bene :-)

Avatar utente
marghe
Linux 3.x
Linux 3.x
Messaggi: 525
Iscritto il: lun 7 ago 2006, 23:39

Re: rootkit per mbr, rischio pure per il pinguino ?

Messaggio da marghe »

Comunque se quello che ho letto è vero basta un fixmbr da windows per sovrascriverlo...
L'importante è avere a portata di mano poi il dvd di slackware per ripristinare lilo

IMPORTANTE: per chi non lo sapesse il comando fixmbr cancella lilo e permette
di avviare soltanto windows... quindi prima di farlo imparare a ripristinare lilo

Avatar utente
tgmx
Linux 4.x
Linux 4.x
Messaggi: 1336
Iscritto il: ven 28 apr 2006, 14:40
Slackware: 14.1
Desktop: KDE 4
Località: Ancona

Re: rootkit per mbr, rischio pure per il pinguino ?

Messaggio da tgmx »

marghe ha scritto:Comunque se quello che ho letto è vero basta un fixmbr da windows per sovrascriverlo...
L'importante è avere a portata di mano poi il dvd di slackware per ripristinare lilo

IMPORTANTE: per chi non lo sapesse il comando fixmbr cancella lilo e permette
di avviare soltanto windows... quindi prima di farlo imparare a ripristinare lilo
Ma a questo punto non basta lanciare "lilo" per reinstallarlo? Almeno per chi è solito installare lilo nel MBR?

Avatar utente
marghe
Linux 3.x
Linux 3.x
Messaggi: 525
Iscritto il: lun 7 ago 2006, 23:39

Re: rootkit per mbr, rischio pure per il pinguino ?

Messaggio da marghe »

Si basta lanciare lilo per reinstallarlo nell'mbr (lilo), ma se tu prima hai dato fixmbr da windows non riuscirai
più ad avviare slackware, quindi dovrai bootare dal dvd di slackware chrootare nella tua root e lanciare lilo,
a quel punto lilo tornerà a funzionare

può darsi darsi che lanciando lilo direttamente vada a sovrascrivere l'eventuale rootkit, ma questo non lo so
io ho letto che fixmbr lo sovrascriveva

comunque il rootkit risiede nei settori 0 e 61, credo che l'mbr vada da 0 a 62,

SUPPONGO che lilo utilizzi lo 0 il che vuol dire secondo me che chi si infetta col rootkit già non ha più
lilo ma si ci avvia direttamente il pc con windows....

comunque le mie sono supposizioni... e sei hai dubbi di averlo pescato io farei un fixmbr da win riavvierei col dvd
e lancerei lilo... magari è esagerato però così dovresti essere tranquillo...

Avatar utente
zetsu
Linux 0.x
Linux 0.x
Messaggi: 72
Iscritto il: sab 5 gen 2008, 9:14
Slackware: 12.2
Kernel: 2.6.27.10
Desktop: kde 3.5.9
Località: Portogruaro (VE) / Udine

Re: rootkit per mbr, rischio pure per il pinguino ?

Messaggio da zetsu »

marghe ha scritto: comunque il rootkit risiede nei settori 0 e 61, credo che l'mbr vada da 0 a 62,

SUPPONGO che lilo utilizzi lo 0 il che vuol dire secondo me che chi si infetta col rootkit già non ha più
lilo ma si ci avvia direttamente il pc con windows....
secondo me no, infatti il rootkit (se non ho capito male) prima copia il settore 0 nel 62 poi si installa nello 0, ma al riavvio il rootkit fa partire dopo di se il settore 62... quindi lilo...
sbaglio? :-k

Avatar utente
marghe
Linux 3.x
Linux 3.x
Messaggi: 525
Iscritto il: lun 7 ago 2006, 23:39

Re: rootkit per mbr, rischio pure per il pinguino ?

Messaggio da marghe »

zetsu ha scritto: al riavvio il rootkit fa partire dopo di se il settore 62...
Io non l'ho capito così... il settore 62 è una copia dell'MBR originale utilizzata dal rootkit
per nascondersi e per nient'altro, almeno così ho capito dall'articolo linkato sopra...

Rispondi