Re: compilar nucleo por seguridad
2012/11/23 Camaleón <noelamac@gmail.com>:
> El Fri, 23 Nov 2012 17:17:56 +0100, Trujillo Carmona, Antonio escribió:
>
>> La compañera encargada de virus me ha pasado este enlace
>> https://www.securelist.com/en/blog/208193935/New_64_bit_Linux_Rootkit_Doing_iFrame_Injections
>> en la que analizan un rootkit espesifico para el núcleo de debian
>> stable.
>
> Lo leí (en español) desde Hispasec:
>
> Descubierto un nuevo rootkit para servidores Linux
> http://unaaldia.hispasec.com/2012/11/descubierto-un-nuevo-rootkit-para.html
>
> Pero no me quedó claro cómo se infectó el servidor.
>
>> ¿Seria útil, y como medida de seguridad, compilar el propio nucleo con
>> apt-build solo para cambiarlo?.
>> No tengo tiempo (ni ganas) de crear configuraciones especificas por
>> servidor, me refiero a recompilar partiendo del fuente usando apt-build
>> con nivel medio de agresividad.
>
> Pues no sé sabría decirte porque no me queda claro qué es vulnerable en
> este caso (¿una versión del kernel en concreto?). Si es así, no tardarán
> en sacar un parche ¿no? :-?
>
En realidad es a la inversa. El rootkit no es una vulnerabilidad en el
kernel ni una forma de utilizar un programa para ganar privilegios en
un sistema limpio. Una vez que el atacante gana acceso root a un
servidor (por otro medio) instala un módulo de kernel que intercepta
las llamadas a funciones de red del kernel específicas para inyectar
un iframe o redirección a otras páginas.
La particularidad de la versión de kernel (2.6.32-5) y arquitectura
(amd64) es porque la única versión conocida del rootkit tiene el
módulo de kernel compilado exclusivamente para esa combinación. Esto
no implica que otras versiones y arquitecturas no sean afectadas;
pero, nuevamente, este rootkit es aparentemente sólo aplicable a esta
arquitectura una vez que el atacante ya ha ganado acceso root al
equipo.
Saludos,
Toote
--
Web: http://www.enespanol.com.ar
Reply to: