Re: Rootkit.

[consultores1 <consultores1@gmail.com>]

El lun, 09-02-2009 a las 10:46 -0430, Kellerman Rivero Suarez escribió:
> El lun, 09-02-2009 a las 12:15 +0100, Francisco Calero escribió:
> > 	Hola a todos, hace ya un tiempo me pasó que la contraseña de root
> > cambió sin que nadie (aparentemente) lo hiciese, de maneara que no le di
> > importancia porque estaba con otros haceres, de manera que restauré la
> > clave de root y a funcionar. Hace un par de semanas me pasó lo mismo,
> > con lo que mi sospechas fueron a mayor grado. Empecé a investigar un
> > poco y cuando vi el .bash_history del usuario root tenía sólo 3 líneas.


> > 
> > 	Estoy a punto de reinstalar el sistema base o actualizarlo para
> > recuperar los binarios que tengo modificados y "terminar con el
> > problema". Me gustaría investigar mas a parte de lo comentado hasta
> > ahora para saber mas acerca de este tipo de ataques y por donde han
> > entrado que es lo que me hace romperte el celebro, físicamente en este
> > ordenador sólo estoy yo trabajando y aqui nadie lo usa porque todos son
> > windowseros profesionales, de manera que nadie ha cojido y se ha puesto
> > a instalar cosas raras en el sistema, no dejo a nadie del exterior que
> > entre al server via ssh ni vnc... resumiento, que nadie toca esta
> > máquina menos yo, y a no ser que un día me habría fumado un porro y me
> > pusiese a hacer cosas extrañas en el sistema, luego no se como se ha
> > podido esto petar.
> > 
> > 	Me da por pensar.... y me acuerdo del servidor web este que tenía el
> > windows nt server creo que se llamaba iss 2, el caso es que pude
> > comprobar que había un gusano/troyano como se llame que infectaba el
> > mismo y abría el netbios de manera que podías tener acceso a los datos
> > del infectado, que el mismo a su vez infectaba a otros servidores
> > similares con el mismo fallo. Comento esto, porque pienso que al apache
> > le ha pasado algo parecido, si no me explico como carajo han conseguido
> > entrar y borrar el .bash_history, pero esto es sólo una teoría mia.
> > 
> > 	A ver si alguien puede indicarme que otras cosas puedo comprobar antes
> > de reinstalar los binarios infectados. 
> > 
> > - ¿ Donde estan instalados los ficheros del f0n este ?
> > ¿ Como se ha infectado mi máquina ? 
> > ¿ Que otra información debería comprobar antes de reparar ?
> > 
> > 	Espero que este post sirva de interes para aquellos que lo consideren y
> > colaboren a saber el porqué.... :-)
> > 
> > Salu2.
> > 
> > 
> Especificamente hace algun tiempo lei, el funcionamiento de los rootkits
> en linux, ahora bien raramente se usa la vulnerabilidad de un binario
> para subir y escalar privilegios, asi que empiezo a responder tus
> preguntas. 
> 1) ¿Donde estan los archivos del rootkit?
> R: El rootkit, seguramente sobreescribio los archivos infectados a
> traves de algun exploit que explotaba una vulnerabilidad en un servicio.
> Asi que ya con archivos con los archivos comprometidos (probablemente
> aquellos con el setuid de root) ya no hacen falta los archivos
> originales si es que alguna vez los hubo. 
> 2) ¿Como se ha infectado tu maquina?
> R: Si estas seguro que nadie fisicamente tuvo acceso a ella, seguramente
> haya sido por algun servicio corriendo, he alli la importancia de
> desactivar los servicios que no usemos y actualizar contra bugs y fallos
> descubiertos los que tenemos funcionando. Seguramente un exploit se
> aprovecho de algun servicio vulnerable.
> 3) ¿Que deberias hacer antes de reinstalar los binarios?
> R: Lo mas sensato, seria verificar la tabla de llamadas al sistema, por
> que ese es el primer objetivo de un rootkit.. al modificar la tabla de
> llamadas al sistema se pueden ocultar procesos, o hasta conexiones de
> red. Asi que deberias hacerte de un buen anti-rootkit que te ayude en
> esta labor.

Es posible que mencionaras algun "buen anti-rootkit"? por favor.

> 
> PD : Espero te haya servido mi respuesta para aclarar tus dudas.
> 
> 
> 
>