[linux_var] bindshell?

P[i]ter░ piterpan8 a tin.it
Mer 21 Gen 2004 18:12:09 UTC


Non posso dire con sicurezza se avevo riavviato al secondo controllo. molto 
probabilmente si, un dubbio che mi Ŕ venuto riguardo a :
> Per quanto riguarda i rootkit kernel space, viene fatta una modifica
> all'interno del kernel in modo da offuscare in modo molto piu' pesante
> (ed efficace) il tutto.
Ŕ che nell'installare il kernel standard : 
kernel-2.4.22.26mdk-1-1mdk.i586.rpm
urpmi mi ha detto che il pacchetto aveva una firma non valida,

@localhost Kernel]$ rpm --checksig kernel-2.4.22.26mdk-1-1mdk.i586.rpm
kernel-2.4.22.26mdk-1-1mdk.i586.rpm: sha1 md5 (GPG) NOT OK (MISSING KEYS: 
GPG#22458a98)

ma confrontando con "md5sum" e quella data dalla "Mandrake Linux Security 
Update Advisory" le firme sono uguali:

2f9b2ed7be3388932bbc319611a0b8b7  9.2/RPMS/kernel-2.4.22.26mdk-1-1mdk.i586.rpm


@localhost Kernel]$ md5sum kernel-2.4.22.26mdk-1-1mdk.i586.rpm
2f9b2ed7be3388932bbc319611a0b8b7  kernel-2.4.22.26mdk-1-1mdk.i586.rpm

quindi mi sono fidato Ŕ ho comunque installato il pacchetto, ho sbagliato?

grazie della risposta.

ci4o
P[i]t3r░

Alle 09:40, mercoledý 21 gennaio 2004, JohnnyRun ha scritto:
> Ci sono generalmente due tipi di rootkit: user space e kernel space.
> Quelli in user space violano il corretto funzionamento di uno o piu'
> programmi per occultare le tracce dell'intruso o per fare operazioni che
> solitamente non sono predisposti a fare.
> Per esempio: posso modificare e ricompilare 'ls' per farsi' che nasconda
> tutti i file e le directory che contengono la parola 'johnnyrun'.
> Ovvio che se al posto di 'ls' usi 'mc', e questo non e' stato
> modificato, vedi tutte le directory e i file.
> Lo stesso discorso vale per programmi come 'ps', login, top, ....
> Per combattere questo attacco si fa solitamente una collezione di
> checksum per tutti i file eseguibili, utilizzando tool come tripwire,
> per cercare di scoprire SUBITO ogni eventuale modifica ai programmi.
>
> Quello di cui parli tu invece e' un programma ESTERNO al normale
> funzionamento del tuo sistema. Trovi il sorgente qui:
>
> http://hysteria.sk/sd/f/junk/bindshell/bindshell.c
>
> Comunque, cancellare tutti i file non ti da la possibilita' di capire se
> il programma si e' sbagliato o no.
> Se la tua box e' realmente infetta connettendoti a localhost:1008
> avresti dovuto ottenere una shell non autenticata.
> Sinceramente non penso che chkrootkit si sia sbagliato. Probabilmente il
> secondo controllo lo hai fatto 'riavviando' la macchina e il tuo intruso
> si e' dimenticato di far partire la sua backdoor all'avvio.
> Per quanto riguarda i rootkit kernel space, viene fatta una modifica
> all'interno del kernel in modo da offuscare in modo molto piu' pesante
> (ed efficace) il tutto.
> Magari ne parliamo in un'altra e-mail, ora sono quasi OT.
> Facci sapere se hai riavviato prima del secondo controllo, sono curioso.
> Byebye
> JohnnyRun
>
> On Tue, Jan 20, 2004 at 07:14:29PM +0100, P[i]ter? wrote:
> > Ciao a tutti,
> > eseguendo chkrootkit per la ricerca di eventuali file infetti ho trovato
> > questa voce:
> > "Checking `bindshell'... INFECTED (PORTS:  1008)"
> > ho fatto una ricerca -google- e pare che questa 'bindshell' fa parte di
> > un rootkit invisibile per prendere possesso di una macchina, sempre
> > ricercando in google viene consigliato di fare una copia di sistema prima
> > di un'eventuale formattazione, questo per dimostrare che la macchina era
> > compromessa e quindi evitare problemi legali.
> > il mio problema ? che sono newbie e che il tutto ? troppo complicato per
> > quelle che sono le mie capacit? informatiche, quindi ho solo fatto una
> > copia di /var/log/.
> > ho rieseguito 'chkrootkit' e stavolta non ? risultata nessuna porta
> > infetta, puo essere che il programma per rivelare i rootkit si sia
> > sbagliato, ma per sicurezza ho comunque riformattato tutto.
> > quello che volevo sapere ? se c? qualche tools che oltre a trovare i file
> > compromessi ne rimuova anche le cause, oppure qualche link in Italiano
> > dove spiegano come fare a risolvere questi problemi, tenedo conto che
> > sono newbie e che ho capacit? limitate di interpretazione.
> > il mio OS ? una mandrake 9.2 installata su un portatile (coppermine)
> >
> > grazie a tutti.
> >
> > ci4o
> > P[i]t3r?
> >
> >
> >   (--- * * * * * * * * * * * * * * * * * * * * * * ---)
> > Per cancellare l'iscrizione: <talking-unsubscribe at ml.linuxvar.it>
> > Interfaccia web di configurazione: http://ml.linuxvar.it/ml/



More information about the Talking mailing list