[linux_var] bindshell?

JohnnyRun gianni79 a gamebox.net
Gio 22 Gen 2004 08:26:16 UTC


 rpm --checksig?? non conosco molto l'rpm. Se l'MD5  uguale
 .... non capisco cosa c'entri GPG.
 Comunque non sei davanti a un rootkit installato nel kernel.
 bye
 JR



On Wed, Jan 21, 2004 at 07:12:09PM +0100, P[i]ter? wrote:
> Non posso dire con sicurezza se avevo riavviato al secondo controllo. molto 
> probabilmente si, un dubbio che mi ? venuto riguardo a :
> > Per quanto riguarda i rootkit kernel space, viene fatta una modifica
> > all'interno del kernel in modo da offuscare in modo molto piu' pesante
> > (ed efficace) il tutto.
> ? che nell'installare il kernel standard : 
> kernel-2.4.22.26mdk-1-1mdk.i586.rpm
> urpmi mi ha detto che il pacchetto aveva una firma non valida,
> 
> @localhost Kernel]$ rpm --checksig kernel-2.4.22.26mdk-1-1mdk.i586.rpm
> kernel-2.4.22.26mdk-1-1mdk.i586.rpm: sha1 md5 (GPG) NOT OK (MISSING KEYS: 
> GPG#22458a98)
> 
> ma confrontando con "md5sum" e quella data dalla "Mandrake Linux Security 
> Update Advisory" le firme sono uguali:
> 
> 2f9b2ed7be3388932bbc319611a0b8b7  9.2/RPMS/kernel-2.4.22.26mdk-1-1mdk.i586.rpm
> 
> 
> @localhost Kernel]$ md5sum kernel-2.4.22.26mdk-1-1mdk.i586.rpm
> 2f9b2ed7be3388932bbc319611a0b8b7  kernel-2.4.22.26mdk-1-1mdk.i586.rpm
> 
> quindi mi sono fidato ? ho comunque installato il pacchetto, ho sbagliato?
> 
> grazie della risposta.
> 
> ci4o
> P[i]t3r?
> 
> Alle 09:40, mercoled? 21 gennaio 2004, JohnnyRun ha scritto:
> > Ci sono generalmente due tipi di rootkit: user space e kernel space.
> > Quelli in user space violano il corretto funzionamento di uno o piu'
> > programmi per occultare le tracce dell'intruso o per fare operazioni che
> > solitamente non sono predisposti a fare.
> > Per esempio: posso modificare e ricompilare 'ls' per farsi' che nasconda
> > tutti i file e le directory che contengono la parola 'johnnyrun'.
> > Ovvio che se al posto di 'ls' usi 'mc', e questo non e' stato
> > modificato, vedi tutte le directory e i file.
> > Lo stesso discorso vale per programmi come 'ps', login, top, ....
> > Per combattere questo attacco si fa solitamente una collezione di
> > checksum per tutti i file eseguibili, utilizzando tool come tripwire,
> > per cercare di scoprire SUBITO ogni eventuale modifica ai programmi.
> >
> > Quello di cui parli tu invece e' un programma ESTERNO al normale
> > funzionamento del tuo sistema. Trovi il sorgente qui:
> >
> > http://hysteria.sk/sd/f/junk/bindshell/bindshell.c
> >
> > Comunque, cancellare tutti i file non ti da la possibilita' di capire se
> > il programma si e' sbagliato o no.
> > Se la tua box e' realmente infetta connettendoti a localhost:1008
> > avresti dovuto ottenere una shell non autenticata.
> > Sinceramente non penso che chkrootkit si sia sbagliato. Probabilmente il
> > secondo controllo lo hai fatto 'riavviando' la macchina e il tuo intruso
> > si e' dimenticato di far partire la sua backdoor all'avvio.
> > Per quanto riguarda i rootkit kernel space, viene fatta una modifica
> > all'interno del kernel in modo da offuscare in modo molto piu' pesante
> > (ed efficace) il tutto.
> > Magari ne parliamo in un'altra e-mail, ora sono quasi OT.
> > Facci sapere se hai riavviato prima del secondo controllo, sono curioso.
> > Byebye
> > JohnnyRun
> >
> > On Tue, Jan 20, 2004 at 07:14:29PM +0100, P[i]ter? wrote:
> > > Ciao a tutti,
> > > eseguendo chkrootkit per la ricerca di eventuali file infetti ho trovato
> > > questa voce:
> > > "Checking `bindshell'... INFECTED (PORTS:  1008)"
> > > ho fatto una ricerca -google- e pare che questa 'bindshell' fa parte di
> > > un rootkit invisibile per prendere possesso di una macchina, sempre
> > > ricercando in google viene consigliato di fare una copia di sistema prima
> > > di un'eventuale formattazione, questo per dimostrare che la macchina era
> > > compromessa e quindi evitare problemi legali.
> > > il mio problema ? che sono newbie e che il tutto ? troppo complicato per
> > > quelle che sono le mie capacit? informatiche, quindi ho solo fatto una
> > > copia di /var/log/.
> > > ho rieseguito 'chkrootkit' e stavolta non ? risultata nessuna porta
> > > infetta, puo essere che il programma per rivelare i rootkit si sia
> > > sbagliato, ma per sicurezza ho comunque riformattato tutto.
> > > quello che volevo sapere ? se c? qualche tools che oltre a trovare i file
> > > compromessi ne rimuova anche le cause, oppure qualche link in Italiano
> > > dove spiegano come fare a risolvere questi problemi, tenedo conto che
> > > sono newbie e che ho capacit? limitate di interpretazione.
> > > il mio OS ? una mandrake 9.2 installata su un portatile (coppermine)
> > >
> > > grazie a tutti.
> > >
> > > ci4o
> > > P[i]t3r?
> > >
> > >
> > >   (--- * * * * * * * * * * * * * * * * * * * * * * ---)
> > > Per cancellare l'iscrizione: <talking-unsubscribe at ml.linuxvar.it>
> > > Interfaccia web di configurazione: http://ml.linuxvar.it/ml/
> 
> 
>   (--- * * * * * * * * * * * * * * * * * * * * * * ---)
> Per cancellare l'iscrizione: <talking-unsubscribe at ml.linuxvar.it>
> Interfaccia web di configurazione: http://ml.linuxvar.it/ml/
> 

-- 
JohnnyRun

-------------------------------




More information about the Talking mailing list