Re: Rootkit.

To: debian-user-spanish@lists.debian.org
Subject: Re: Rootkit.
From: Martin Spinassi <martins.listz@gmail.com>
Date: Mon, 09 Feb 2009 11:03:30 -0200
Message-id: <[🔎] 1234184610.3302.18.camel@kr0sty.livra.local>
Reply-to: martins.listz@gmail.com
In-reply-to: <[🔎] 1234178131.9312.45.camel@pcalero.homedns.org>
References: <[🔎] 1234178131.9312.45.camel@pcalero.homedns.org>

On Mon, 2009-02-09 at 12:15 +0100, Francisco Calero wrote:
> 	Hola a todos, hace ya un tiempo me pasó que la contraseña de root
> cambió sin que nadie (aparentemente) lo hiciese, de maneara que no le di
> importancia porque estaba con otros haceres, de manera que restauré la
> clave de root y a funcionar. Hace un par de semanas me pasó lo mismo,
> con lo que mi sospechas fueron a mayor grado. Empecé a investigar un
> poco y cuando vi el .bash_history del usuario root tenía sólo 3 líneas.
> ----------------
> su
> password
> rm .bash_history
> ----------------
> 
> 	Verdaderamente se puede decir que son tres comandos muy comprometidos
> si tienes la clave de root (información que no se como la han
> conseguido). El caso es que despues de ver esto me puse manos a la obra
> para averiguar un poco sobre lo que estaba pasando. 
> 
> 	Encontré algo acerca de los rootkit para linux, concretamente el
> chkrootkit-0.48 que me dió la siguiente salida:
> 
<SNIP>
> 
> 
> Podeis imaginar lo que hice con el ssh despues de ver el .bash_history.
> 
> 	Estoy a punto de reinstalar el sistema base o actualizarlo para
> recuperar los binarios que tengo modificados y "terminar con el
> problema". Me gustaría investigar mas a parte de lo comentado hasta
> ahora para saber mas acerca de este tipo de ataques y por donde han
> entrado que es lo que me hace romperte el celebro, físicamente en este
> ordenador sólo estoy yo trabajando y aqui nadie lo usa porque todos son
> windowseros profesionales, de manera que nadie ha cojido y se ha puesto
> a instalar cosas raras en el sistema, no dejo a nadie del exterior que
> entre al server via ssh ni vnc... resumiento, que nadie toca esta
> máquina menos yo, y a no ser que un día me habría fumado un porro y me
> pusiese a hacer cosas extrañas en el sistema, luego no se como se ha
> podido esto petar.
> 
> 	Me da por pensar.... y me acuerdo del servidor web este que tenía el
> windows nt server creo que se llamaba iss 2, el caso es que pude
> comprobar que había un gusano/troyano como se llame que infectaba el
> mismo y abría el netbios de manera que podías tener acceso a los datos
> del infectado, que el mismo a su vez infectaba a otros servidores
> similares con el mismo fallo. Comento esto, porque pienso que al apache
> le ha pasado algo parecido, si no me explico como carajo han conseguido
> entrar y borrar el .bash_history, pero esto es sólo una teoría mia.
> 
> 	A ver si alguien puede indicarme que otras cosas puedo comprobar antes
> de reinstalar los binarios infectados. 
> 
> - ¿ Donde estan instalados los ficheros del f0n este ?
> ¿ Como se ha infectado mi máquina ? 
> ¿ Que otra información debería comprobar antes de reparar ?
> 
> 	Espero que este post sirva de interes para aquellos que lo consideren y
> colaboren a saber el porqué.... :-)
> 
> Salu2.
> 

Francisco, ésto es lo que yo haría:

Si el equipo es un server en producción, arrancarle el cable de
alimentación. Existe varios puntos de vista aquí, algunos dicen que si
hay algo en memoria, al hacerlo perderás datos de como está funcionando
el ataque, desde mi punto de vista, no tiene ningún sentido hacer un
análisis sobre un servidor comprometido, funcionando. Es jugar una
ruleta rusa de que puedan entrar y crear aún algún mal peor.

Crear una imagen del disco comprometido (o los discos), le ideal es
hacer más de uno, para que puedas hacer las pruebas, para que puedas
presentar en el momento de hacer la denuncia y el original. De todos
modos los forenses deberían hacer sus propias copias para el análisis.

Aunque no lo intenté nunca, puedes congelar la memoria del equipo ni
bien la desconectas de la alimentación. Existen aerosoles para hacerlo,
y luego tendrás que averiguar cual es la mejor manera de mantenerlo para
poder dárselas al forense, tal vez puedan sacar algo de información
extra de ahí. En este punto tel vez alguien te pueda asesorar mejor que
yo para saber cuanta información se puede sacar de ahí, y cuanto tiempo
dispones ántes de que lo que tenga en memoria sea irrecuperable.

Una vez trabajando con una imagen, en un entorno seguro y separado de la
red de la empresa, puedes probar con otro programa para sacar algo más
de info. rkhunter es otro buen programa para detectar rootkits en linux.

Aunque puede que los logs estén modificados, puedes mirar por ahí a ver
que encuentras. Examinar los binarios que crees comprometidos, desde un
editor, desensamblador, ejecutarlos con strace y ltrace, etc, para ver
que ejecuta.

Buscar si las versiones de los servicios que tienes funcionando, tienen
alguna vulnerabilidad. Es importante en el momento que pongas el nuevo
server a funcionar, que no contenga los mismos errores, ya que el
atacante puede volver a usarlos para entrar.

Por último, te diría de ir documentando cada cosa que haces, desde lo
más pequeño hasta lo más importante, puede resultar muy útil.

Y algo que vas a necesitar a lo largo del camino; mucha paciencia y un
poco de fortuna.

Saludos y suerte!

Martín

Reply to:

References:
- Rootkit.
  - From: Francisco Calero <pcm@inproda.es>

Prev by Date: Re: Rootkit.
Next by Date: Visualizar .avi en navegador
Previous by thread: Re: Rootkit.
Next by thread: Re: Rootkit.
Index(es):
- Date
- Thread