risultati chkrootkit

Fugazi · 17-10-2007, 23:25

Pare che chkrootkit abbia trovato qualcosa di sospetto.....
(a parte il fatto che ho reinstallato pochi giorni fa e nn ho installato niente che non arrivasse dalle repo)

Searching for t0rn's v8 defaults... Possible t0rn v8 \(or variation\) rootkit installed

Ora come verifico l'esistenza di 'sto coso? Come scopro dov'è? come lo elimino?

zephyr83 · 18-10-2007, 01:43

Quote:

Originariamente inviato da Fugazi

Pare che chkrootkit abbia trovato qualcosa di sospetto.....
(a parte il fatto che ho reinstallato pochi giorni fa e nn ho installato niente che non arrivasse dalle repo)

Searching for t0rn's v8 defaults... Possible t0rn v8 \(or variation\) rootkit installed

Ora come verifico l'esistenza di 'sto coso? Come scopro dov'è? come lo elimino?

Ma rootkit su linux? o scansione la partizione windows?

gurutech · 18-10-2007, 06:17

ciao,
non so la v8, ma t0rn attacca BIND. per cui se non hai il DNS BIND installato è improbabile che tu abbia quel rootkit.
http://www.sans.org/resources/malwar...rn_rootkit.php

potrebbe essere un falso positivo
http://lists.debian.org/debian-user/.../msg02253.html

ti consiglio di provare anche con rkhunter
http://www.rootkit.nl/projects/rootkit_hunter.html

per verificare correttamente la presenza di RK, parti da un sistema pulito su LiveCD (uno qualsiasi andrà bene, ma se ne vuoi uno specializzato)

Fugazi · 18-10-2007, 14:15

Bind c'era, l'ho disinstallato (tanto non mi serve) e chkrootkit continua a trovare quel sospetto rootkit.....

avendo un sistema praticamente intonso ho pensato anch'io a un falso positivo

comunque ho lanciato il kit con montate 2 partizioni che uso per i dati, c'è il rischio che arrivi da lì (niente Windows).

Appena mi apre la pagina dell'Hunter (al momento sembra offline) lo installo e provo anche con lui.
Intanto farò un test da live.

Il problema è che non mi dice dov'è e se ci fosse realmente non so come estirparlo

qualcuno sa come agire in casi del genere?

gurutech · 18-10-2007, 15:55

Quote:

Originariamente inviato da Fugazi

Bind c'era, l'ho disinstallato (tanto non mi serve) e chkrootkit continua a trovare quel sospetto rootkit.....

avendo un sistema praticamente intonso ho pensato anch'io a un falso positivo
[...]
Il problema è che non mi dice dov'è e se ci fosse realmente non so come estirparlo

qualcuno sa come agire in casi del genere?

qui c'è qualche dettaglio in più
http://www.securityfocus.com/infocus/1230

per capirci qualcosa DEVI usare un live cd. infatti un rootkit generalemente carica dei moduli del kernel che non ti permettono di vedere alcuni file o nascondono alcuni processi dalla lista di "ps". ergo l'unica soluzione per vedere il sistema allo stato attuale è usare un live cd. comincia a guardare se ci sono utenti strani in /etc/passwd

edit: rkhunter puoi anche prenderlo da qui
http://ftp.de.debian.org/debian/pool....0.orig.tar.gz

Fugazi · 18-10-2007, 16:41

/etc/passwd è un disastro..... si va da root e fugazi a daemon, operator, mail, ftp.....
in tutto quasi una 30ina

è normale ??????

Fugazi · 18-10-2007, 18:33

se lancio chkrootkit da live mi scannerizza il sistema operativo utilizzato, cioè la live, come faccio a fargli scannerizzare il sistema installato ?????

diabolicus · 18-10-2007, 22:03

Quote:

Originariamente inviato da Fugazi

/etc/passwd è un disastro..... si va da root e fugazi a daemon, operator, mail, ftp.....
in tutto quasi una 30ina

è normale ??????

questi vanno bene, sono utenti di sistema. li troverai anche in /etc/group e /etc/shadow

Quote:

come faccio a fargli scannerizzare il sistema installato ?????

questo non lo so, ma ci sarà un manuale penso

Quote:

Il problema è che non mi dice dov'è e se ci fosse realmente non so come estirparlo

se il sistema è stato in qualche modo compromesso l'unica è formattare e reisntallare il s.o.

unarana · 18-10-2007, 22:26

Quote:

Originariamente inviato da Fugazi

se lancio chkrootkit da live mi scannerizza il sistema operativo utilizzato, cioè la live, come faccio a fargli scannerizzare il sistema installato ?????

Credo chkrootkit -r /directory mentre per rkhunter è --rootdir /directory

Ciao

Fugazi · 18-10-2007, 22:38

Quote:

questo non lo so, ma ci sarà un manuale penso

La pagina man non esiste, in compenso c'è un README su chkrootkit.org

# ./chkrootkit -r <path>

Quote:

se il sistema è stato in qualche modo compromesso l'unica è formattare e reisntallare il s.o.

Speriamo di no

unarana · 18-10-2007, 22:42

Quote:

Originariamente inviato da Fugazi

# ./chkrootkit -r <path>

Ricordavo giusto

Ciao

Fugazi · 20-10-2007, 12:44

chkrootkit continua a darmi risultato positivo anche da live, mentre rkhunter dice che non c'è niente.....
credo a rkh o formatto ?

17-10-2007, 23:25	#1
Fugazi Senior Member Iscritto dal: Dec 2004 Città: Trieste Messaggi: 1138	risultati chkrootkit Pare che chkrootkit abbia trovato qualcosa di sospetto..... (a parte il fatto che ho reinstallato pochi giorni fa e nn ho installato niente che non arrivasse dalle repo) Searching for t0rn's v8 defaults... Possible t0rn v8 \(or variation\) rootkit installed Ora come verifico l'esistenza di 'sto coso? Come scopro dov'è? come lo elimino? __________________ Cos'è Linux - Prima di installare Linux - Decalogo Linux - Introduzione a Linux - Linux How To A cosa serve Dio se c'è google? In ogni gruppo o comunità c'è un imbecille: se nella tua cerchia di amici non ne vedi, comincia a preoccuparti.

18-10-2007, 06:17	#3
gurutech Senior Member Iscritto dal: Jun 2000 Città: S.Giuliano (MI) Messaggi: 1047	ciao, non so la v8, ma t0rn attacca BIND. per cui se non hai il DNS BIND installato è improbabile che tu abbia quel rootkit. http://www.sans.org/resources/malwar...rn_rootkit.php potrebbe essere un falso positivo http://lists.debian.org/debian-user/.../msg02253.html ti consiglio di provare anche con rkhunter http://www.rootkit.nl/projects/rootkit_hunter.html per verificare correttamente la presenza di RK, parti da un sistema pulito su LiveCD (uno qualsiasi andrà bene, ma se ne vuoi uno specializzato) __________________ “No te tomes tan en serio la vida, al fin y al cabo no saldrás vivo de ella”

18-10-2007, 14:15	#4
Fugazi Senior Member Iscritto dal: Dec 2004 Città: Trieste Messaggi: 1138	Bind c'era, l'ho disinstallato (tanto non mi serve) e chkrootkit continua a trovare quel sospetto rootkit..... avendo un sistema praticamente intonso ho pensato anch'io a un falso positivo comunque ho lanciato il kit con montate 2 partizioni che uso per i dati, c'è il rischio che arrivi da lì (niente Windows). Appena mi apre la pagina dell'Hunter (al momento sembra offline) lo installo e provo anche con lui. Intanto farò un test da live. Il problema è che non mi dice dov'è e se ci fosse realmente non so come estirparlo qualcuno sa come agire in casi del genere? __________________ Cos'è Linux - Prima di installare Linux - Decalogo Linux - Introduzione a Linux - Linux How To A cosa serve Dio se c'è google? In ogni gruppo o comunità c'è un imbecille: se nella tua cerchia di amici non ne vedi, comincia a preoccuparti.

18-10-2007, 16:41	#6
Fugazi Senior Member Iscritto dal: Dec 2004 Città: Trieste Messaggi: 1138	/etc/passwd è un disastro..... si va da root e fugazi a daemon, operator, mail, ftp..... in tutto quasi una 30ina è normale ?????? __________________ Cos'è Linux - Prima di installare Linux - Decalogo Linux - Introduzione a Linux - Linux How To A cosa serve Dio se c'è google? In ogni gruppo o comunità c'è un imbecille: se nella tua cerchia di amici non ne vedi, comincia a preoccuparti.

18-10-2007, 18:33	#7
Fugazi Senior Member Iscritto dal: Dec 2004 Città: Trieste Messaggi: 1138	se lancio chkrootkit da live mi scannerizza il sistema operativo utilizzato, cioè la live, come faccio a fargli scannerizzare il sistema installato ????? __________________ Cos'è Linux - Prima di installare Linux - Decalogo Linux - Introduzione a Linux - Linux How To A cosa serve Dio se c'è google? In ogni gruppo o comunità c'è un imbecille: se nella tua cerchia di amici non ne vedi, comincia a preoccuparti.

20-10-2007, 12:44	#12
Fugazi Senior Member Iscritto dal: Dec 2004 Città: Trieste Messaggi: 1138	chkrootkit continua a darmi risultato positivo anche da live, mentre rkhunter dice che non c'è niente..... credo a rkh o formatto ? __________________ Cos'è Linux - Prima di installare Linux - Decalogo Linux - Introduzione a Linux - Linux How To A cosa serve Dio se c'è google? In ogni gruppo o comunità c'è un imbecille: se nella tua cerchia di amici non ne vedi, comincia a preoccuparti.

Strumenti
Mostra una versione stampabile Invia questa pagina per email