Re: LKM rootkit или нет ?

To: "Victor B. Wagner" <debian-russian@lists.debian.org>
Subject: Re: LKM rootkit или нет ?
From: Andrey Chernomyrdin <andrey@excom.spb.su>
Date: Fri, 5 Dec 2003 01:01:23 +0300
Message-id: <[🔎] 20031205010123.A29767@excom.spb.su>
In-reply-to: <[🔎] 20031204202037.GA13888@45.free.net>; from vitus@45.free.net on Thu, Dec 04, 2003 at 11:20:37PM +0300
References: <[🔎] 20031204223338.A9928@excom.spb.su> <[🔎] 20031204202037.GA13888@45.free.net>

On 04-Dec-2003, Thu, 23:20:37, Victor B. Wagner <vitus@45.free.net> wrote:

> > Вот тут на одной из машин кажется rootkit, хотелось-бы проконсультироватся...
> > просто проверка:
> > You have     4 process hidden for ps command
> > 
> 
> Как однако взлом дебиановских серверов всех напугал!

Да не так что-бы сильно напугал - было ясно, что взлом произошел не через
сеть, а через дырку которая доступна с локального шела.

Ну а на эту машину с которой я разбирался только небольшой круг доверенных
людей ходит.

Так что это было вряд-ли, просто подумал мало-ли какой новый червяк завелся.

> Я тут тоже себе chkrootkit поставил, и ядро сейчас собираю посредством
> наложения 2.4.23-го патча с kernel.org на дебиановский
> kernel-source-2.4.22. Не собралось однако. Если завтра
> packages.debian.org не подымется, придется ручками по режектам лазить.
> Или проще взять upstream sources и наложить на них ACPI-патч посвежее?
> 
> 
> > root         0  0.0  0.0     0    0 ?        SWN  23:56   0:00 [ksoftirqd_CPU0]
> > root         0  0.0  0.0     0    0 ?        SW   23:56   0:00 [kswapd]
> > root         0  0.0  0.0     0    0 ?        SW   23:56   0:00 [bdflush]
> > root         0  0.0  0.0     0    0 ?        SW   23:56   0:00 [kupdated]
> 
> Вот они родимые. Все четыре. Кернельные нити это. Это известная паранойя
> chkrootkit-а, что он кернельные нити за трояна держит.

Просто это как-то не сильно документировано в chkrootkit. То есть про нити в
2.6 - там написанно, а вот про эти изменения в в procps - еще нет.

Просто на этой машине какой-то странный глюк с mc происходит.
Из под обычного непривелегированного пользователя - все работает нормально,
а вот из под root-а mc виснет при вхождении в директорию (любую). По strace
висит на каком-то select-е и судя по вызовам при зохождении в директорию он
порожденному шелу команды правильные передает и читает от него.

Ладно, на счет mc - буду думать.

P.S.
Касаемо взломов - тут человек один на тестовую машинку под unstable поставил
prelink (по идее должно ускорять загрузку бинарников за счет какой-то
оптимизации библиотек), так эта фиговина в cron прописывается на
еженедельный запуск. Человек благополучно уехал в отпуск, через несколько
дней prelink запустился изменил (с оптимизировал все или почти все бинарники)

Ну а debsums начал выдавать то, что изменились практически все бинарники в
системе - я спешно переставил машину, сохранив конфиги из /etc/ (в том числе
и prelink) и через неделю опять "взлом" с подменой всех бинарников. В общем
и целом не знал чего и думать, потом посморел что и когда по крону
запускалось - понял что к чему. Так что если решили использовать prelink -
нужно большими буквами писать, что всякие системы IDS основанные на
контрольных суммах файлов будут срабатывать достаточно регулярно.

-- 
With Best,                      | http://www.excom.spb.su/~andrey
     Andrey Chernomyrdin        | mailto:andrey@excom.spb.su

Reply to:

Follow-Ups:
- Re: LKM rootkit или нет ?
  - From: Artem Chuprina <ran@ran.pp.ru>
- Re: LKM rootkit или нет ?
  - From: Sergey Spiridonov <sena@hurd.homeunix.org>

References:
- LKM rootkit или нет ?
  - From: Andrey Chernomyrdin <andrey@excom.spb.su>
- Re: LKM rootkit или нет ?
  - From: "Victor B. Wagner" <vitus@45.free.net>

Prev by Date: Re: LKM rootkit или нет ?
Next by Date: Russian VNC
Previous by thread: Re: LKM rootkit или нет ?
Next by thread: Re: LKM rootkit или нет ?
Index(es):
- Date
- Thread