Re: compilar nucleo por seguridad
El vie, 23-11-2012 a las 13:49 -0300, Matías Bellone escribió:
> 2012/11/23 Camaleón <noelamac@gmail.com>:
> > El Fri, 23 Nov 2012 17:17:56 +0100, Trujillo Carmona, Antonio escribió:
> >
> >> La compañera encargada de virus me ha pasado este enlace
> >> https://www.securelist.com/en/blog/208193935/New_64_bit_Linux_Rootkit_Doing_iFrame_Injections
> >> en la que analizan un rootkit espesifico para el núcleo de debian
> >> stable.
> >
> > Lo leí (en español) desde Hispasec:
> >
> > Descubierto un nuevo rootkit para servidores Linux
> > http://unaaldia.hispasec.com/2012/11/descubierto-un-nuevo-rootkit-para.html
> >
> > Pero no me quedó claro cómo se infectó el servidor.
> >
> >> ¿Seria útil, y como medida de seguridad, compilar el propio nucleo con
> >> apt-build solo para cambiarlo?.
> >> No tengo tiempo (ni ganas) de crear configuraciones especificas por
> >> servidor, me refiero a recompilar partiendo del fuente usando apt-build
> >> con nivel medio de agresividad.
> >
> > Pues no sé sabría decirte porque no me queda claro qué es vulnerable en
> > este caso (¿una versión del kernel en concreto?). Si es así, no tardarán
> > en sacar un parche ¿no? :-?
> >
>
> En realidad es a la inversa. El rootkit no es una vulnerabilidad en el
> kernel ni una forma de utilizar un programa para ganar privilegios en
> un sistema limpio. Una vez que el atacante gana acceso root a un
> servidor (por otro medio) instala un módulo de kernel que intercepta
> las llamadas a funciones de red del kernel específicas para inyectar
> un iframe o redirección a otras páginas.
>
> La particularidad de la versión de kernel (2.6.32-5) y arquitectura
> (amd64) es porque la única versión conocida del rootkit tiene el
> módulo de kernel compilado exclusivamente para esa combinación. Esto
> no implica que otras versiones y arquitecturas no sean afectadas;
> pero, nuevamente, este rootkit es aparentemente sólo aplicable a esta
> arquitectura una vez que el atacante ya ha ganado acceso root al
> equipo.
>
> Saludos,
> Toote
> --
> Web: http://www.enespanol.com.ar
>
>
Si claro lo tengo claro que no es un virus ni tiene forma de infectar un
servidor no accedido antes, pero seria muy fácil recompilar los núcleos
(igual que hago, aveces, con algunas aplicaciones para ganar
rendimiento), bastaría usar apt-build install en lugar de apt-get
install para tener un núcleo propio, lo que no tengo tan claro es si un
modulo de un núcleo funciona en otro núcleo igual pero de distinta
compilación.
Generalmente cuando compilo módulos con m-a exige tener las fuentes o
cabeceras del núcleo especifico, pero an algún lado leí que se permitía
cierta portabilidad de núcleos, por eso lo pregunto.
¿Un modulo compilado para debian stable sin tocar funcionara en un
núcleo compilado con apt-build con agresividad media (entiendo que los
de los repositorios van con agresividad baja) sin tocar nada de la
configuración?
--
trujo <antonio.trujillo.sspa@juntadeandalucia.es>
Reply to: