Pare che chkrootkit abbia trovato qualcosa di sospetto.....
(a parte il fatto che ho reinstallato pochi giorni fa e nn ho installato niente che non arrivasse dalle repo)

Searching for t0rn's v8 defaults... Possible t0rn v8 \(or variation\) rootkit installed

Ora come verifico l'esistenza di 'sto coso? Come scopro dov'è? come lo elimino?

Pare che chkrootkit abbia trovato qualcosa di sospetto.....
(a parte il fatto che ho reinstallato pochi giorni fa e nn ho installato niente che non arrivasse dalle repo)

Searching for t0rn's v8 defaults... Possible t0rn v8 \(or variation\) rootkit installed

Ora come verifico l'esistenza di 'sto coso? Come scopro dov'è? come lo elimino?
Ma rootkit su linux? o scansione la partizione windows?

ciao,
non so la v8, ma t0rn attacca BIND. per cui se non hai il DNS BIND installato è improbabile che tu abbia quel rootkit.
http://www.sans.org/resources/malwarefaq/t0rn_rootkit.php

potrebbe essere un falso positivo
http://lists.debian.org/debian-user/2001/12/msg02253.html

ti consiglio di provare anche con rkhunter
http://www.rootkit.nl/projects/rootkit_hunter.html

per verificare correttamente la presenza di RK, parti da un sistema pulito su LiveCD (uno qualsiasi andrà bene, ma se ne vuoi uno specializzato (http://www.google.com/search?hl=en&q=linux+forensic))

Bind c'era, l'ho disinstallato (tanto non mi serve) e chkrootkit continua a trovare quel sospetto rootkit.....

avendo un sistema praticamente intonso ho pensato anch'io a un falso positivo

comunque ho lanciato il kit con montate 2 partizioni che uso per i dati, c'è il rischio che arrivi da lì (niente Windows).

Appena mi apre la pagina dell'Hunter (al momento sembra offline) lo installo e provo anche con lui.
Intanto farò un test da live.

Il problema è che non mi dice dov'è e se ci fosse realmente non so come estirparlo :muro:
qualcuno sa come agire in casi del genere?

Bind c'era, l'ho disinstallato (tanto non mi serve) e chkrootkit continua a trovare quel sospetto rootkit.....

avendo un sistema praticamente intonso ho pensato anch'io a un falso positivo
[...]
Il problema è che non mi dice dov'è e se ci fosse realmente non so come estirparlo :muro:
qualcuno sa come agire in casi del genere?
qui c'è qualche dettaglio in più
http://www.securityfocus.com/infocus/1230

per capirci qualcosa DEVI usare un live cd. infatti un rootkit generalemente carica dei moduli del kernel che non ti permettono di vedere alcuni file o nascondono alcuni processi dalla lista di "ps". ergo l'unica soluzione per vedere il sistema allo stato attuale è usare un live cd. comincia a guardare se ci sono utenti strani in /etc/passwd

edit: rkhunter puoi anche prenderlo da qui
http://ftp.de.debian.org/debian/pool/main/r/rkhunter/rkhunter_1.3.0.orig.tar.gz

/etc/passwd è un disastro..... si va da root e fugazi a daemon, operator, mail, ftp.....
in tutto quasi una 30ina :eek:

è normale ??????

se lancio chkrootkit da live mi scannerizza il sistema operativo utilizzato, cioè la live, come faccio a fargli scannerizzare il sistema installato ?????

/etc/passwd è un disastro..... si va da root e fugazi a daemon, operator, mail, ftp.....
in tutto quasi una 30ina :eek:

è normale ??????
questi vanno bene, sono utenti di sistema. li troverai anche in /etc/group e /etc/shadow


come faccio a fargli scannerizzare il sistema installato ?????

questo non lo so, ma ci sarà un manuale penso ;)


Il problema è che non mi dice dov'è e se ci fosse realmente non so come estirparlo

se il sistema è stato in qualche modo compromesso l'unica è formattare e reisntallare il s.o.

se lancio chkrootkit da live mi scannerizza il sistema operativo utilizzato, cioè la live, come faccio a fargli scannerizzare il sistema installato ?????

Credo chkrootkit -r /directory mentre per rkhunter è --rootdir /directory

Ciao :D

questo non lo so, ma ci sarà un manuale penso
La pagina man non esiste, in compenso c'è un README su chkrootkit.org :muro:
# ./chkrootkit -r <path>

se il sistema è stato in qualche modo compromesso l'unica è formattare e reisntallare il s.o.
Speriamo di no :sofico:

# ./chkrootkit -r <path>


Ricordavo giusto ;)

Ciao :D

chkrootkit continua a darmi risultato positivo anche da live, mentre rkhunter dice che non c'è niente.....
credo a rkh o formatto ?