Aiutoooooo!!! mi hanno hackerato

[texerasmo]

Qualcuno mi ha lanciato un rootkit,
Mi cambiano la pass di root in continuazione
il comndao ps risulta non installato

Che si fa in questi casi?
è possibile riattivare il comado ps ?

tnks

[kingv]

fai il boot con un livecd e monta la partizione incriminata.

poi usa rkhunter o chrootkit.


che distribuzione / kernel / servizi abilitati avevi?

[texerasmo]

cioè avvio la macchina con il cd di installazione?
rischio di perdere dati?

[ilsensine]

No avvia con un livecd tipo knoppix.

Se hai dei dati, la prima cosa da fare è tirarli fuori (ovviamente non fidarti degli eseguibili, dei file sorgente e degli script, possono esse stati alterati ad arte).

[texerasmo]

scusa la più totale ingoranza non ne so molto non sono un sistemista ma cmq devo riuscire a risolvere il pb in qualche modo

che significa livecd?

[texerasmo]

ho scaricato chrootkit.
l'ho compilato con il comadno make ma quando lo lancio i dice comando ps non trovato.
aiutatemi per favore

[bort_83]

azz .. sta storia dei rootkit mi ha aperto gli okki...

mi sono un po documentato e per sicurezza ho installato chkrootkit version 0.43

poi ho provato ad eseguirlo e mi ha dato:

Codice:

SRVFILES:~# chkrootkit -q
eth0: PACKET SNIFFER(/usr/sbin/dhcpd3[7795])

mi devo preoccupare ?

tale macchina non è collegata direttamente ad internet e l'accesso diretto è controllato... (ci sono io davanti alla porta e solo 2 utenti hanno l'accesso)

e poi ancora ... quanta diffusione hanno questi rootkit ?

il livello di attenzione deve essere paranoia o sono eventi sporadici ??

[ilsensine]

Quote:

Originariamente inviato da texerasmo
ho scaricato chrootkit.
l'ho compilato con il comadno make ma quando lo lancio i dice comando ps non trovato.
aiutatemi per favore

Ecco, appunto: NON devi utilizzare quel sistema operativo per fare queste cose; è ormai compromesso, inaffidabile, kaputt...



Un live cd è una distribuzione completa che vive su un cd stand-alone. E' ottimo come sistema di rescue (come nel tuo caso).
Il più famoso è knoppix, ma ce ne sono altri:
http://www.knopper.net/knoppix/index-en.html

Per me quello che dovresti fare è tirar fuori i dati, e reinstallare. E' il procedimento più sicuro.

[ilsensine]

Quote:

Originariamente inviato da bort_83

Codice:

SRVFILES:~# chkrootkit -q
eth0: PACKET SNIFFER(/usr/sbin/dhcpd3[7795])

mi devo preoccupare ?

Non necessariamente, non so come funzioni quel coso.

La butto lì -- non è che è stato semplicemente danneggiato il file system? Questo giustificherebbe la mancanza di ps o altri programmi (anche se mi sembra strano che la password di root viene cancellata/modificata, mentre le altre non hanno subito danni)

[texerasmo]

ora nemmeno i comandi
ls
ll mi funzionano
ragazzi mi dite una soluzione per favore.

la pass di root mi si cambia in continuazione le altre no.
se rimetto i cd mandrake 8.0 posso rinstallare senza perdere i dati alcune cose ovvero i comandi
ll
ls
ps

grazie

[ilsensine]

Perché non fai come ti ho suggerito e innanzi tutto salvi i dati?

Poi la mdk 8.0 non è più mantenuta da tempo, e ha immense GROVIERE di sicurezza; già che ci sei dovresti seriamente valutare un upgrade a una versione più recente (e sicura)...

[ilsensine]

Quote:

Originariamente inviato da texerasmo
la pass di root mi si cambia in continuazione le altre no.

Hai controllato che il file /etc/securetty sia integro? (posta il contenuto se sei incerto)

[texerasmo]

ok quello lo sto facendo

nel frattempo per rinstallare i comandi?

[ilsensine]

Puoi brutalmente copiare quelli di una installazione linux funzionante, dovrebbe andare.
Notizie su /etc/securetty? Hai provato a diventare root tramite "su" oltre che a tentare il login come root?

[HexDEF6]

Quote:

Originariamente inviato da bort_83
azz .. sta storia dei rootkit mi ha aperto gli okki...

mi sono un po documentato e per sicurezza ho installato chkrootkit version 0.43

poi ho provato ad eseguirlo e mi ha dato:

Codice:

SRVFILES:~# chkrootkit -q
eth0: PACKET SNIFFER(/usr/sbin/dhcpd3[7795])

mi devo preoccupare ?

tale macchina non è collegata direttamente ad internet e l'accesso diretto è controllato... (ci sono io davanti alla porta e solo 2 utenti hanno l'accesso)

e poi ancora ... quanta diffusione hanno questi rootkit ?

il livello di attenzione deve essere paranoia o sono eventi sporadici ??

In teoria no... questo che ti ha dato dovrebbe essere il server dhcpd attivo (se non deve esserci un server dhcpd attivo sulla macchina... beh allora preoccupati!)
prova a fare cosi':
/etc/init.d/dhcpd stop
rilancia chkrootkit
se non ti segnala niente vuol dire che era proprio il TUO server dhcp (ripeto pero' magari li non dovrebbe esserci un server dhcpd e quindi qualcuno ha messo su il tutto a regola d'arte)
ricordati di far ripartire il dhcpd:
/etc/init.d/dhcpd start

Ciao!

[HexDEF6]

Quote:

Originariamente inviato da texerasmo
Qualcuno mi ha lanciato un rootkit,
Mi cambiano la pass di root in continuazione
il comndao ps risulta non installato

Che si fa in questi casi?
è possibile riattivare il comado ps ?

tnks

come fai a sapere che ti cambiano la pass da root in continuazione?
ps e' il primo comando che viene tolto/modificato (cosi' non ti vedi piu' i processi in giro per il sistema e quindi non puoi killare quelli sospetti)

per i comandi potresti usare quelli del cd della distribuzione... ma come puoi fidarti che urpmi (o qualunque tool che tu usi per installare pacchetti) non sia stato compromesso e ti installi una versione sua di ps? (lo so che puo' essere considerato paranoico, ma dalle poche esperienze che ho avuto, e dalle esperienze riportate da gente ben piu' esperta di me, ho capito una cosa: se una macchina e' stata compromessa l'unica soluzione e' la formattazione)

Come ho gia detto l'unica cosa da fare e':
- salvare i dati importanti (che comunque dovrebbero essere su un bel backup)
- formattare e rimettere in piedi la macchina da zero, e magari tenerla aggiornata!

Ciao

[pinball]

ma come fai a dire che la password di root ti cambia in continuazione? scusa l'ingoranza, ma in teoria se te l'hanno cambiata non sei + diventato root nemmeno una volta, quindi come fai a dire che cambia sempre?

[pinball]

abbiamo postato praticamente insieme allora non sono l'unico con sto dubbio

[HexDEF6]

Quote:

Originariamente inviato da moly82
abbiamo postato praticamente insieme allora non sono l'unico con sto dubbio

ehehe direi proprio di no!

[texerasmo]

titty 1
titty 2
titty 3
titty 4
c'è scritto questo