chkrootkit; suckit...INFECTED, Lite 5-r rootkit

Te, które nie mieszczą się w powyższych kategoriach, a mają coś wspólnego ze Slackware.

Moderatorzy: Moderatorzy, Administratorzy

Awatar użytkownika
kroqus
Użytkownik
Posty: 141
Rejestracja: 2009-04-22, 15:14

chkrootkit; suckit...INFECTED, Lite 5-r rootkit

Post autor: kroqus »

Serwus, skan programem chkrootkit dał właśnie taki wynik. Rootkit Suckit. Sprawdziłem kilka rzeczy (poszukałem trochę w google) m.in;

Kod: Zaznacz cały

cat /proc/1/maps | grep init
08048000-08068000 r-xp 00000000 08:02 1704011    /sbin/init (deleted)
08068000-0806a000 rw-p 0001f000 08:02 1704011    /sbin/init (deleted)
następnie sprawdziłem

Kod: Zaznacz cały

cat /proc/1/maps 
00320000-0032c000 r-xp 00000000 08:02 3145837    /lib/libnss_files-2.12.so (delete)
0032c000-0032d000 r--p 0000b000 08:02 3145837    /lib/libnss_files-2.12.so (delete)
0032d000-0032e000 rw-p 0000c000 08:02 3145837    /lib/libnss_files-2.12.so (delete)
00708000-0074d000 r-xp 00000000 08:02 3152613    /lib/libdbus-1.so.3.4.0 (delete)
0074d000-0074e000 r--p 00044000 08:02 3152613    /lib/libdbus-1.so.3.4.0 (delete) 
0074e000-0074f000 rw-p 00045000 08:02 3152613    /lib/libdbus-1.so.3.4.0 (delete)
007f9000-007fa000 r-xp 00000000 00:00 0          [vdso]
00b4d000-00b6a000 r-xp 00000000 08:02 3152615    /lib/libgcc_s-4.4.4-20100503.so.1 (delete)
00b6a000-00b6b000 rw-p 0001d000 08:02 3152615    /lib/libgcc_s-4.4.4-20100503.so.1 (delete)
00bf2000-00c10000 r-xp 00000000 08:02 3145901    /lib/ld-2.12.so (delete)
00c10000-00c11000 r--p 0001d000 08:02 3145901    /lib/ld-2.12.so (delete)
00da9000-00dc0000 r-xp 00000000 08:02 3152596    /lib/libpthread-2.12.so (delete)
092be000-092df000 rw-p 00000000 00:00 0          [heap]
b7852000-b7855000 rw-p 00000000 00:00 0 
b7862000-b7863000 rw-p 00000000 00:00 0 
bf967000-bf97c000 rw-p 00000000 00:00 0          [stack]
Szczerze mówiąc wynik był troszkę dłuższy. Postanowiłem zrestartować komputer (nie było żadnych error'ów), następnie zrobiłem raz jeszcze skan chkrootkit, i tym razem okazało się, że nic nie znalazł, a wyniki w/w poleceń są normalne - tzn. bez delete. Nie mam odpalonych żadnych usług, typu ssh, httpd, samba etc. Co mogę jeszcze zrobić, żeby upewnić się, że system jest czysty? Z kolei wynik z rkhunter

Kod: Zaznacz cały

Checking for prerequisites                               [ Warning ]
/bin/ls                                                  [ Warning ]
Checking for passwd file changes                         [ Warning ]
Checking for group file changes                          [ Warning ]
Checking if SSH protocol v1 is allowed                   [ Warning ]
Checking for hidden files and directories                [ Warning ]
 Suspect files: 1
A co z tymi grupami? W /etc/group mam m.in. coś takiego; rtkit, jackuser, desktop_admin_r, desktop_user_r. A to jest normalne?

Kod: Zaznacz cały

 bin:x:1:root,bin,daemon
daemon:x:2:root,bin,daemon
Jeśli chodzi o plik group to dziś instalowałem tor'a. Niestety nie wiem o co może chodzić z plikiem passwd. A co z tym SSH protocol v1 is allowed ?
Pozdrawiam.
Ostatnio zmieniony 2010-06-04, 23:23 przez kroqus, łącznie zmieniany 1 raz.
memus
Użytkownik
Posty: 245
Rejestracja: 2005-09-27, 17:17

Re: chkrootkit; suckit...INFECTED

Post autor: memus »

kroqus pisze:A co z tym SSH protocol v1 is allowed ?
W pliku /etc/ssh/sshd_config zamień:

Kod: Zaznacz cały

#Protocol 1
na

Kod: Zaznacz cały

Protocol 2
i restart sshd
joi
Użytkownik
Posty: 151
Rejestracja: 2004-10-12, 20:32
Lokalizacja: raczej nie stąd ;)
Kontakt:

Re: chkrootkit; suckit...INFECTED

Post autor: joi »

nigdy nie będziesz mieć pewności czy włamywacz nie zostawił jakiejś furtki - jedyne bezpieczne rozwiązanie to reinstalka systemu
Awatar użytkownika
kroqus
Użytkownik
Posty: 141
Rejestracja: 2009-04-22, 15:14

Re: chkrootkit; suckit...INFECTED

Post autor: kroqus »

@joi pewnie masz rację, dlatego tak zrobiłem. Niestety tym razem rkhunter wywalił;

Kod: Zaznacz cały

File properties checks...
    Required commands check failed
    Files checked: 129
    Suspect files: 0

Rootkit checks...
    Rootkits checked : 247
    Possible rootkits: 1
    Rootkit names    : Possible Lite5-r Rootkit

Kod: Zaznacz cały

Checking for passwd file changes                     [ Warning ]
Checking for group file changes                          [ Warning ]
Checking for hidden files and directories                [ Warning ]
ODPOWIEDZ