Qualcuno mi ha lanciato un rootkit,
Mi cambiano la pass di root in continuazione
il comndao ps risulta non installato

Che si fa in questi casi?
è possibile riattivare il comado ps ?

tnks

fai il boot con un livecd e monta la partizione incriminata.

poi usa rkhunter o chrootkit.


che distribuzione / kernel / servizi abilitati avevi?

cioè avvio la macchina con il cd di installazione?
rischio di perdere dati?

No avvia con un livecd tipo knoppix.

Se hai dei dati, la prima cosa da fare è tirarli fuori (ovviamente non fidarti degli eseguibili, dei file sorgente e degli script, possono esse stati alterati ad arte).

scusa la più totale ingoranza non ne so molto non sono un sistemista ma cmq devo riuscire a risolvere il pb in qualche modo

che significa livecd?

ho scaricato chrootkit.
l'ho compilato con il comadno make ma quando lo lancio i dice comando ps non trovato.
aiutatemi per favore

azz .. sta storia dei rootkit mi ha aperto gli okki...

mi sono un po documentato e per sicurezza ho installato chkrootkit version 0.43

poi ho provato ad eseguirlo e mi ha dato:


SRVFILES:~# chkrootkit -q
eth0: PACKET SNIFFER(/usr/sbin/dhcpd3[7795])



mi devo preoccupare ?

tale macchina non è collegata direttamente ad internet e l'accesso diretto è controllato... (ci sono io davanti alla porta ;) e solo 2 utenti hanno l'accesso)

e poi ancora ... quanta diffusione hanno questi rootkit ?

il livello di attenzione deve essere paranoia o sono eventi sporadici ??

Originariamente inviato da texerasmo
ho scaricato chrootkit.
l'ho compilato con il comadno make ma quando lo lancio i dice comando ps non trovato.
aiutatemi per favore
Ecco, appunto: NON devi utilizzare quel sistema operativo per fare queste cose; è ormai compromesso, inaffidabile, kaputt...



Un live cd è una distribuzione completa che vive su un cd stand-alone. E' ottimo come sistema di rescue (come nel tuo caso).
Il più famoso è knoppix, ma ce ne sono altri:
http://www.knopper.net/knoppix/index-en.html

Per me quello che dovresti fare è tirar fuori i dati, e reinstallare. E' il procedimento più sicuro.

Originariamente inviato da bort_83

SRVFILES:~# chkrootkit -q
eth0: PACKET SNIFFER(/usr/sbin/dhcpd3[7795])


mi devo preoccupare ?

Non necessariamente, non so come funzioni quel coso.

La butto lì -- non è che è stato semplicemente danneggiato il file system? Questo giustificherebbe la mancanza di ps o altri programmi (anche se mi sembra strano che la password di root viene cancellata/modificata, mentre le altre non hanno subito danni)

ora nemmeno i comandi
ls
ll mi funzionano
ragazzi mi dite una soluzione per favore.

la pass di root mi si cambia in continuazione le altre no.
se rimetto i cd mandrake 8.0 posso rinstallare senza perdere i dati alcune cose ovvero i comandi
ll
ls
ps

grazie

Perché non fai come ti ho suggerito e innanzi tutto salvi i dati?

Poi la mdk 8.0 non è più mantenuta da tempo, e ha immense GROVIERE di sicurezza; già che ci sei dovresti seriamente valutare un upgrade a una versione più recente (e sicura)...

Originariamente inviato da texerasmo
la pass di root mi si cambia in continuazione le altre no.

Hai controllato che il file /etc/securetty sia integro? (posta il contenuto se sei incerto)

ok quello lo sto facendo

nel frattempo per rinstallare i comandi?

Puoi brutalmente copiare quelli di una installazione linux funzionante, dovrebbe andare.
Notizie su /etc/securetty? Hai provato a diventare root tramite "su" oltre che a tentare il login come root?

Originariamente inviato da bort_83
azz .. sta storia dei rootkit mi ha aperto gli okki...

mi sono un po documentato e per sicurezza ho installato chkrootkit version 0.43

poi ho provato ad eseguirlo e mi ha dato:


SRVFILES:~# chkrootkit -q
eth0: PACKET SNIFFER(/usr/sbin/dhcpd3[7795])



mi devo preoccupare ?

tale macchina non è collegata direttamente ad internet e l'accesso diretto è controllato... (ci sono io davanti alla porta ;) e solo 2 utenti hanno l'accesso)

e poi ancora ... quanta diffusione hanno questi rootkit ?

il livello di attenzione deve essere paranoia o sono eventi sporadici ??


In teoria no... questo che ti ha dato dovrebbe essere il server dhcpd attivo (se non deve esserci un server dhcpd attivo sulla macchina... beh allora preoccupati!)
prova a fare cosi':
/etc/init.d/dhcpd stop
rilancia chkrootkit
se non ti segnala niente vuol dire che era proprio il TUO server dhcp (ripeto pero' magari li non dovrebbe esserci un server dhcpd e quindi qualcuno ha messo su il tutto a regola d'arte)
ricordati di far ripartire il dhcpd:
/etc/init.d/dhcpd start

Ciao!

Originariamente inviato da texerasmo
Qualcuno mi ha lanciato un rootkit,
Mi cambiano la pass di root in continuazione
il comndao ps risulta non installato

Che si fa in questi casi?
è possibile riattivare il comado ps ?

tnks

come fai a sapere che ti cambiano la pass da root in continuazione?
ps e' il primo comando che viene tolto/modificato (cosi' non ti vedi piu' i processi in giro per il sistema e quindi non puoi killare quelli sospetti)

per i comandi potresti usare quelli del cd della distribuzione... ma come puoi fidarti che urpmi (o qualunque tool che tu usi per installare pacchetti) non sia stato compromesso e ti installi una versione sua di ps? (lo so che puo' essere considerato paranoico, ma dalle poche esperienze che ho avuto, e dalle esperienze riportate da gente ben piu' esperta di me, ho capito una cosa: se una macchina e' stata compromessa l'unica soluzione e' la formattazione)

Come ho gia detto l'unica cosa da fare e':
- salvare i dati importanti (che comunque dovrebbero essere su un bel backup)
- formattare e rimettere in piedi la macchina da zero, e magari tenerla aggiornata!

Ciao

ma come fai a dire che la password di root ti cambia in continuazione? scusa l'ingoranza, ma in teoria se te l'hanno cambiata non sei + diventato root nemmeno una volta, quindi come fai a dire che cambia sempre? :fagiano: :confused:

abbiamo postato praticamente insieme :p allora non sono l'unico con sto dubbio :p

Originariamente inviato da moly82
abbiamo postato praticamente insieme :p allora non sono l'unico con sto dubbio :p

ehehe direi proprio di no!

titty 1
titty 2
titty 3
titty 4
c'è scritto questo

...non è possibile :D
Sarà tty1 (2, 3...)

Provato con "su" se ti accetta la password?

Originariamente inviato da ilsensine
Ecco, appunto: NON devi utilizzare quel sistema operativo per fare queste cose; è ormai compromesso, inaffidabile, kaputt...


infatti, questo e' inutile, bisogerebbe prepararsi su un cd dei bei binari precompilati linkati staticamente per poter riuscire a mettere una pezza momentanea al problema

Originariamente inviato da ilsensine
Un live cd è una distribuzione completa che vive su un cd stand-alone. E' ottimo come sistema di rescue (come nel tuo caso).
Il più famoso è knoppix, ma ce ne sono altri:
http://www.knopper.net/knoppix/index-en.html


attenzione che alcuni metodi di compromissione non riescono ad avere tutti i privilegi subito (metti che qualcuno che sfrutta un falla di apache riesce ad entrare con i permessi di apache) ma se si riavvia la macchina potrebbe essere che sia riuscito ad "infettare" qualcosa che dopo la fase iniziale in cui viene lanciato da superutente abbassa i propri privilegi.. e quindi al successivo riavvio, ha preso il controllo della macchina...


Originariamente inviato da ilsensine
Per me quello che dovresti fare è tirar fuori i dati, e reinstallare. E' il procedimento più sicuro.

questa e' l'UNICA soluzione come ti puoi fidare di una macchina che e' stata compromessa?
una cosa utile da fare sarebbe quella di fare un'immagine del disco e studiarla per capire come e' avvenuto il tutto, per impedire che succeda la stessa cosa una seconda volta... a dire la verita' in questo caso non e' cosi' utile visto che nella mdk8 ci saranno decine di bachi che permettono la compromissione...

Ciao!

Originariamente inviato da texerasmo
titty 1
titty 2
titty 3
titty 4
c'è scritto questo

allora il colpevole e' sicuramente il gatto silvestro....

scusa non ho resistito a dire una stupidata!

:rotfl:

titty


:rotfl:


ciao :D

perchè mi collego con putty.exe
in continuazione

Originariamente inviato da texerasmo
perchè mi collego con putty.exe
in continuazione

:confused:

cosa centra?
ma riesci a collegarti come root?
... mi sa che devi spiegare meglio la situazione...

dicci cosa fai e cosa succede, senza inserire tue conclusioni..

Ciao!

allora ho riposto troppo velocemete..
ero nel panico più totale :p

tty1
tty2
tty3
tty4
tty5
tty6

ecco cosa c'è scritto (avevo la tastiera sporca :) )

Riesco a cambiare la pass di root in questo modo.
Da shell che sono rimaste aperte come root
passwd root


mi accorgo che la pass di root mi viene cambiata perchè se provo ad entrare come root da un altra macchina mi dice pass sbagliata.
se la modifico ed entro subito dopo modificata riesco ad entrarci,tutto questo via ssh.


Spero di essere stao + chiaro e di aver tolto dubbi ad alcuni di voi.


Ho capito che devo rinstalalre linux, speriamo che non sia un impresa.
Ho dei cd Mandrake 10 me la consigliate?

Qual'è la più semplice da installare?

upp

mandrake, fedora, suse sono abbastanza semplici (un abisso rispetto alla mdk 8)

le patch di sicurezza vanno installate appena escono, se no è come mettere la pass di root in bianco!
si
e davvero cosi inportante!

la prossima volta stai più attento...

mi puzza che hai abbandonato un pc con mandrake 8.0 perr 2 anni ci credo che ti entrano