Pagina 1 di 1

Mi hanno rootkitato ?

Inviato: mar 23 gen 2007, 16:46
da Dani
Ultimamente sto usando poco slackware, comunque ieri sera ho notato che nella root c'era una directory "slack" che conteneva tre sottodirectory: bin, sbin e var.
In queste directory c'erano programmi come chmod, ls, chattr, fdisk ecc...Alcuni dei quali erano dei link simbolici ai "veri" files.

Ho subito elminato la directory in questione e fatto una scansione con rkhunter, anche se secondo me questi programmi non servono a nulla...Ma non si sa mai...In ogni caso dice che è tutto ok ad eccezione di tre files: /etc/.java (directory vuota) , /etc/.password (vuoto pure questo) ed /dev/.non ricordo che ho eliminato subito subito. Ho riavviato e il sistema funzionava correttamente.

Io sono convinto che si tratta di un rootkit che qualche lamerone ha inserito in qualche tgz, per questo volevo sapere se c'è un modo per ordinare cronologicamente in /var/log/packages i pacchetti stessi.

Secondo voi mi sono beccato un rootkit ?
Escuderei che l'eventuale attacker mi abbia exploitato perchè ho tutte le porte chiuse, non uso alcun tipo di servizio che metta in ascolto una porta, nè ssh, nè telnet, nè nulla...

Il firewall del router blocca tutto il traffico in entrata, ad eccezione del p2p. Idem per iptables.

Inviato: mar 23 gen 2007, 16:53
da l1q1d
secondo me e` difficile che ti siano entrati, prima di cancellare tutto ti conveniva guardare la data di creazione dei file e dai un occhio ai log. Non ci sara' quasi sicuramente il pacchetto precompilato della lammata....

Inviato: mar 23 gen 2007, 17:10
da Dani
l1q1d ha scritto:Non ci sara' quasi sicuramente il pacchetto precompilato della lammata....
In che senso ?
Volevo vedere quali sono gli ultimi pacchetti installati, per poi recuperarli dalla rete ed analizzarli.

Inviato: mar 23 gen 2007, 18:47
da gioco
Dani ha scritto:Volevo vedere quali sono gli ultimi pacchetti installati, per poi recuperarli dalla rete ed analizzarli.
Puoi fare un semplice

Codice: Seleziona tutto

ls -l /var/log/packages | grep $data
dove data è la data che ti interessa.

Inviato: mar 23 gen 2007, 19:17
da Dani
mmmh...ho dato cat /var/log/packages/* | grep /slack/ e non c'è nulla...

Inviato: mar 23 gen 2007, 20:27
da Meskalamdug
Dani ha scritto:mmmh...ho dato cat /var/log/packages/* | grep /slack/ e non c'è nulla...
Prova
grep "slack" /var/log/packages/* > 12
grep "slack" /var/log/removed_packages/* >> 12

Poi con calma analizza il file 12 e cerca la directory rimossa

Inviato: mer 24 gen 2007, 13:05
da Dani
Nel file 12 mi mette praticamente tutti i pacchetti che ho installato...

Codice: Seleziona tutto

root[~]# wc -l 12 
3197 12 
:lol:

Dato che la directory sospetta era /slack ho cercato direttamente questa directory in /var/log/packages con "grep -i /slack/" ma non vedo nulla :(

Inviato: mer 24 gen 2007, 20:23
da algol
ho notato che nella root c'era una directory "slack" che conteneva tre sottodirectory: bin, sbin e var.
In queste directory c'erano programmi come chmod, ls, chattr, fdisk ecc...Alcuni dei quali erano dei link simbolici ai "veri" files.
Ciao
A occhio la creazione di queste directory "di sistema" messe lì nella /root sembrerebbe il risultato di un explodepkg o qualcosa di simile.... in questo caso delle coreutils...

Vabbè l'ho buttata li!

Inviato: gio 25 gen 2007, 21:11
da Dani
algol ha scritto:
ho notato che nella root c'era una directory "slack" che conteneva tre sottodirectory: bin, sbin e var.
In queste directory c'erano programmi come chmod, ls, chattr, fdisk ecc...Alcuni dei quali erano dei link simbolici ai "veri" files.
Ciao
A occhio la creazione di queste directory "di sistema" messe lì nella /root sembrerebbe il risultato di un explodepkg o qualcosa di simile.... in questo caso delle coreutils...

Vabbè l'ho buttata li!
No, per root non intendo la home di root ma la radice del sistema / !