[chkrootkit] corro dei rischi?

[CARVASIN]

ecco qua l'output

Codice:

:~$ chkrootkit
/usr/sbin/chkrootkit need root privileges
tupac@GHOST:~$ sudo chkrootkit
Password:
ROOTDIR is `/'
Checking `amd'... not found
Checking `basename'... not infected
Checking `biff'... not found
Checking `chfn'... not infected
Checking `chsh'... not infected
Checking `cron'... not infected
Checking `date'... not infected
Checking `du'... not infected
Checking `dirname'... not infected
Checking `echo'... not infected
Checking `egrep'... not infected
Checking `env'... not infected
Checking `find'... not infected
Checking `fingerd'... not found
Checking `gpm'... not found
Checking `grep'... not infected
Checking `hdparm'... not infected
Checking `su'... not infected
Checking `ifconfig'... not infected
Checking `inetd'... not tested
Checking `inetdconf'... not infected
Checking `identd'... not found
Checking `init'... not infected
Checking `killall'... not infected
Checking `ldsopreload'... not infected
Checking `login'... not infected
Checking `ls'... not infected
Checking `lsof'... not infected
Checking `mail'... not found
Checking `mingetty'... not found
Checking `netstat'... not infected
Checking `named'... not found
Checking `passwd'... not infected
Checking `pidof'... not infected
Checking `pop2'... not found
Checking `pop3'... not found
Checking `ps'... not infected
Checking `pstree'... not infected
Checking `rpcinfo'... not infected
Checking `rlogind'... not found
Checking `rshd'... not found
Checking `slogin'... not infected
Checking `sendmail'... not infected
Checking `sshd'... not infected
Checking `syslogd'... not infected
Checking `tar'... not infected
Checking `tcpd'... not infected
Checking `tcpdump'... not infected
Checking `top'... not infected
Checking `telnetd'... not found
Checking `timed'... not found
Checking `traceroute'... not found
Checking `vdir'... not infected
Checking `w'... not infected
Checking `write'... not infected
Checking `aliens'... no suspect files
Searching for sniffer's logs, it may take a while... nothing found
Searching for HiDrootkit's default dir... nothing found
Searching for t0rn's default files and dirs... nothing found
Searching for t0rn's v8 defaults... nothing found
Searching for Lion Worm default files and dirs... nothing found
Searching for RSHA's default files and dir... nothing found
Searching for RH-Sharpe's default files... nothing found
Searching for Ambient's rootkit (ark) default files and dirs... nothing found
Searching for suspicious files and dirs, it may take a while...
/usr/lib/realplay-10.0.6.776/share/default/.realplayerrc

Searching for LPD Worm files and dirs... nothing found
Searching for Ramen Worm files and dirs... nothing found
Searching for Maniac files and dirs... nothing found
Searching for RK17 files and dirs... nothing found
Searching for Ducoci rootkit... nothing found
Searching for Adore Worm... nothing found
Searching for ShitC Worm... nothing found
Searching for Omega Worm... nothing found
Searching for Sadmind/IIS Worm... nothing found
Searching for MonKit... nothing found
Searching for Showtee... nothing found
Searching for OpticKit... nothing found
Searching for T.R.K... nothing found
Searching for Mithra... nothing found
Searching for LOC rootkit... nothing found
Searching for Romanian rootkit... nothing found
Searching for Suckit rootkit... Warning: /sbin/init INFECTED
Searching for Volc rootkit... nothing found
Searching for Gold2 rootkit... nothing found
Searching for TC2 Worm default files and dirs... nothing found
Searching for Anonoying rootkit default files and dirs... nothing found
Searching for ZK rootkit default files and dirs... nothing found
Searching for ShKit rootkit default files and dirs... nothing found
Searching for AjaKit rootkit default files and dirs... nothing found
Searching for zaRwT rootkit default files and dirs... nothing found
Searching for Madalin rootkit default files... nothing found
Searching for Fu rootkit default files... nothing found
Searching for ESRK rootkit default files... nothing found
Searching for anomalies in shell history files... nothing found
Checking `asp'... not infected
Checking `bindshell'... not infected
Checking `lkm'... chkproc: nothing detected
Checking `rexedcs'... not found
Checking `sniffer'... lo: not promisc and no packet sniffer sockets
eth0: PACKET SNIFFER(/sbin/dhclient3[6449], /usr/sbin/pppd[6744])
ppp0: not promisc and no packet sniffer sockets
Checking `w55808'... not infected
Checking `wted'... chkwtmp: nothing deleted
Checking `scalper'... not infected
Checking `slapper'... not infected
Checking `z2'... chklastlog: nothing deleted

a quanto pare ha rilevato qualcosa...sapete dirmi cosa sia?
grazie

ciao

[ilsensine]

http://openskills.info/infobox.php?ID=20

[CARVASIN]

mamma mia che giornata deprimente....

grazie mille per il link

[CARVASIN]

il fatto che io usi initng e che suckit si installi in /sbin/init, può servire a qualcosa... o sono sempre a rischio?

da openskills

Codice:

Generalmente un rootkit comprende:
- Un network sniffer, per registrare login e password utilizzate sulla o dalla macchina violata, in modo da estendere il raggio d'azione dell'intrusore e la qualità e quantità di informazioni in suo possesso;
- Un keystroke logger, che registra quanto digitato dall'utente direttamente in console;
- Dei log wipers, script che cancellano automaticamente le tracce dell'intrusione dai log di sistema;
- Versioni modificate (trojans) di comandi di sistema comunemente utilizzati che possono rivelare l'esistenza del rootkit: ls, netstat, ifconfig, ps, killall, find, top.
- Una backdoor che accetta connessioni remote sia appoggiandosi ad una porta locale (nascosta dal netstat modificato) che modificando le versioni sul sistema di server telnet, ssh o analoghi.

wow...mi sa che faccio prima a formattare tutto

[ilsensine]

No, se si tratta di quel rootkit dovrebbe averti creato una copia di init, che puoi ripristinare. Almeno nel link così è detto.

[CARVASIN]

io ho letto, ma non è per nulla alla mia portata...cercherò di capirci di più cercando altro...per ora me tengo sto sistema bucato

da quello che ho capito, chi l'ha installato potrebbe sapere tranquillamente le mie password di sistema giusto?

[Gica78R]

Visto che e' stato aperto questo thread, ne approfitto per chiedere anch'io qualche delucidazione. Giorni fa la scansione con chkrootkit non dava nessun problema; oggi, dopo aver scaricato ed installato un po' di aggiornamenti (sempre dal solito repository, ftp://ftp4.gwdg.de/pub/linux/suse/apt/) e dopo aver attivato anche un server web locale, ho ricevuto un output insolito

Riporto solo le parti interessanti.

Questi sono files e directory segnalate come sospette:

Quote:

Searching for suspicious files and dirs, it may take a while...
/usr/lib/nvu/.autoreg /usr/lib/perl5/5.8.7/i586-linux-thread-multi/.packlist /usr/lib/perl5/vendor_perl/5.8.7/i586-linux-th
read-multi/auto/IO/Stringy/.packlist /usr/lib/perl5/vendor_perl/5.8.7/i586-linux-thread-multi/auto/DBD/mysql/.packlist /usr
/lib/perl5/vendor_perl/5.8.7/i586-linux-thread-multi/auto/DBI/.packlist /usr/lib/perl5/vendor_perl/5.8.7/i586-linux-thread-
multi/auto/Bit/Vector/.packlist /usr/lib/perl5/vendor_perl/5.8.7/i586-linux-thread-multi/auto/PDA/Pilot/.packlist /usr/lib/
perl5/vendor_perl/5.8.7/i586-linux-thread-multi/auto/Net/Daemon/.packlist /usr/lib/perl5/vendor_perl/5.8.7/i586-linux-threa
d-multi/auto/RPC/PlServer/.packlist /usr/lib/perl5/vendor_perl/5.8.7/i586-linux-thread-multi/auto/SaX/.packlist /usr/lib/pe
rl5/vendor_perl/5.8.7/i586-linux-thread-multi/auto/URI/.packlist /usr/lib/perl5/vendor_perl/5.8.7/i586-linux-thread-multi/a
uto/XML/Parser/.packlist /usr/lib/perl5/vendor_perl/5.8.7/i586-linux-thread-multi/auto/ycp/.packlist /usr/lib/perl5/vendor_
perl/5.8.7/i586-linux-thread-multi/auto/Carp/Clan/.packlist /usr/lib/perl5/vendor_perl/5.8.7/i586-linux-thread-multi/auto/D
ata/ShowTable/.packlist /usr/lib/perl5/vendor_perl/5.8.7/i586-linux-thread-multi/auto/Date/Calc/.packlist /usr/lib/perl5/ve
ndor_perl/5.8.7/i586-linux-thread-multi/auto/HTML/Parser/.packlist /usr/lib/perl5/vendor_perl/5.8.7/i586-linux-thread-multi
/auto/HTML/Tagset/.packlist /usr/lib/perl5/vendor_perl/5.8.7/i586-linux-thread-multi/auto/File/Find/Rule/.packlist /usr/lib
/perl5/vendor_perl/5.8.7/i586-linux-thread-multi/auto/Glib/.packlist /usr/lib/perl5/vendor_perl/5.8.7/i586-linux-thread-mul
ti/auto/Gtk2/.packlist /usr/lib/perl5/vendor_perl/5.8.7/i586-linux-thread-multi/auto/Mail/.packlist /usr/lib/perl5/vendor_p
erl/5.8.7/i586-linux-thread-multi/auto/PLog/.packlist /usr/lib/perl5/vendor_perl/5.8.7/i586-linux-thread-multi/auto/RRDp/.p
acklist /usr/lib/perl5/vendor_perl/5.8.7/i586-linux-thread-multi/auto/RRDs/.packlist /usr/lib/perl5/vendor_perl/5.8.7/i586-
linux-thread-multi/auto/X500/DN/.packlist /usr/lib/perl5/vendor_perl/5.8.7/i586-linux-thread-multi/auto/Term/ReadKey/.packl
ist /usr/lib/perl5/vendor_perl/5.8.7/i586-linux-thread-multi/auto/Term/ReadLine/Gnu/.packlist /usr/lib/perl5/vendor_perl/5.
8.7/i586-linux-thread-multi/auto/Text/Glob/.packlist /usr/lib/perl5/vendor_perl/5.8.7/i586-linux-thread-multi/auto/Config/C
rontab/.packlist /usr/lib/perl5/vendor_perl/5.8.7/i586-linux-thread-multi/auto/Digest/MD4/.packlist /usr/lib/perl5/vendor_p
erl/5.8.7/i586-linux-thread-multi/auto/Digest/SHA1/.packlist /usr/lib/perl5/vendor_perl/5.8.7/i586-linux-thread-multi/auto/
Crypt/SmbHash/.packlist /usr/lib/perl5/vendor_perl/5.8.7/i586-linux-thread-multi/auto/SDL_perl/.packlist /usr/lib/perl5/ven
dor_perl/5.8.7/i586-linux-thread-multi/auto/Parse/RecDescent/.packlist /usr/lib/perl5/vendor_perl/5.8.7/i586-linux-thread-m
ulti/auto/XFree/.packlist /usr/lib/perl5/vendor_perl/5.8.7/i586-linux-thread-multi/auto/Locale/gettext/.packlist /usr/lib/p
erl5/vendor_perl/5.8.7/i586-linux-thread-multi/auto/Number/Compare/.packlist /usr/lib/perl5/vendor_perl/5.8.7/i586-linux-th
read-multi/auto/libwww-perl/.packlist /usr/lib/perl5/vendor_perl/5.8.7/i586-linux-thread-multi/auto/MIME-tools/.packlist /u
sr/lib/perl5/vendor_perl/5.8.7/i586-linux-thread-multi/auto/TimeDate/.packlist /usr/lib/perl5/vendor_perl/5.8.7/i586-linux-
thread-multi/auto/Bootloader/.packlist

in pratica si tratta sempre dello stesso tipo di file... Magari e' un falso allarme.

Questo invece non capisco cosa voglia dire:

Quote:

Checking `chkutmp'... The tty of the following user process(es) were not found
in /var/run/utmp !
! RUID PID TTY CMD
! root 5474 tty7 /usr/X11R6/bin/Xorg -br -nolisten tcp :0 vt7 -auth /var/lib/xdm/authdir/authfiles/A:0-mPh4uo
! root 7174 pts/3 /bin/su root -c /opt/kde3/bin/kdesu_stub -
! root 7177 pts/3 /opt/kde3/bin/kdesu_stub
chkutmp: nothing deleted

Inoltre, se tengo acceso il server DHCP (aprendo la relativa porta del firewall), compare anche quest'altra segnalazione:

Quote:

Checking `sniffer'... eth0: PF_PACKET(/usr/sbin/dhcpd)

eth0 e' la porta a cui collego il client della LAN e sulla quale sono in ascolto i servizi di rete (si dice cosi'?)

Per il resto non sono presenti rootkit (almeno non ne sono stati riconosciuti ) ed il resto dell'output e' tutto negativo.


Che ne pensate?


Grazie

[NA01]

Quote:

Originariamente inviato da Gica78R

Inoltre, se tengo acceso il server DHCP (aprendo la relativa porta del firewall), compare anche quest'altra segnalazione:

eth0 e' la porta a cui collego il client della LAN e sulla quale sono in ascolto i servizi di rete (si dice cosi'?)

per il resto non so.
questo invece è perfettamente normale, indca solo che la scheda di rete è in modalità promiscua.

ciao

[CARVASIN]

scusate ma io non ho capito se c'è un modo di levarsi tra i piedi questo rootkit...esiste?

edit: tuitte le notizie che leggo parlano di intrusioni attravreso dei bug....ma sono del 2003/2004!!

[CARVASIN]

up

[Gica78R]

Quote:

Originariamente inviato da CARVASIN

up

Nulla?

Io ho cercato un po' in rete per il mio problema; e' un output molto frequente ed e' opinione comune che si tratti di falsi positivi
Comunque ho rifatto la scansione con rkunter e questo dice che non ci sono problemi, anche se mi avverte che e' abilitato il protocollo SSH v1. Ora devo solo vedere come si disabilita

[CARVASIN]

Chieod scusa!! mi ero dimenticato di questo 3d (è che ne seguivo anche un'altro sullo stesso argomento...). in ogni caso pare sia un falso positivo, anche a me rkhunter non rileva nulla

ciao