Pagina 1 di 2
rootkit per mbr, rischio pure per il pinguino ?
Inviato: gio 10 gen 2008, 17:35
da navajo
http://punto-informatico.it/p.aspx?i=2155671
che ne pensate ? ho letto i post su punto informatico, ma mica mi convincono tanto..
Re: rootkit per mbr, rischio pure per il pinguino ?
Inviato: gio 10 gen 2008, 18:15
da nuitari
Mah, mi pare una stron*ata (autocensura .).
Innanzitutto devi avere una situazione tale per cui riescono an injettarti del codice visitando un sito web... in secondo luogo, il codice injettato deve potersi eseguire con privilegi sufficienti a scrivere sull'mbr...
Inoltre non vedo come possa attecchire su server web linux sta cosa, visto che il browser + *grosso* che si usa in remoto, ammesso di usarlo, è links.... ma onestamente non credo nessun sysadmin degno di tale nome usi più di wget.
Re: rootkit per mbr, rischio pure per il pinguino ?
Inviato: gio 10 gen 2008, 18:23
da Mario Vanoni
Quanti rootkit su UNIX/Linux sono fino ad oggi stati resi noti?
E provati?
Mario Vanoni
Re: rootkit per mbr, rischio pure per il pinguino ?
Inviato: gio 10 gen 2008, 19:59
da neongen
meno male che almeno alla
symantec sono un poco più seri del giornalista di p.i.
The main problem is that some versions of Microsoft Windows allow programs to overwrite disk sectors directly (including the MBR) from user mode, without restrictions. As such, writing a new MBR into Sector 0 as a standard user is a relatively easy task. This issue has been known for quite some time, and still affects the 2K/XP families, while Vista was partially secured in 2006 (after Release Candidate 2) after a successful attack demonstration made by Joanna Rutkowska. The attack is called the “Pagefile Attackâ€.
n.b. l'articolo citato da p.i. indicava come sistemi a rischio solo la famiglia Windows...

Re: rootkit per mbr, rischio pure per il pinguino ?
Inviato: gio 10 gen 2008, 23:25
da navajo
grazie a tutti per i chiarimenti
Re: rootkit per mbr, rischio pure per il pinguino ?
Inviato: ven 11 gen 2008, 10:16
da tgmx
Il problema a questo punto potrebbe essere un'altro:
nel mio portatile ho ancora entrambi i sistemi operativi e al lavoro a volte devo usare windows (purtroppo come amministratore del sistema e non come utente limitato); in questo modo il virus potrebbe mettersi nel mbr ed eventualmente fare danni anche durante il normale utilizzo su linux.
Re: rootkit per mbr, rischio pure per il pinguino ?
Inviato: ven 11 gen 2008, 15:13
da sid77
[FLAME]l'articolo di PI è pessimo: in tutta la pagina non c'è un link diretto alla fonte della notizia che è questa
http://www2.gmer.net/mbr/[/FLAME]
flame a parte, tecnicamente il funzionamento del rootkit può essere adattato per linux.
quello preso in considerazione non fa "altro" che caricare un kernel windows sopra di lui, a grandi linee quello che fa un bootloader come lilo o grub solo che invece di levarsi di torno una volta che è stato avviato il kernel, se ne rimane li a controllarlo e a modificarne il comportamento (a grandi linee, eh!).
quindi si, potrebbe benissimo uscirne una versione per linux.
il giorno che vedrà la luce, funzionerà? non lo so.
per installarsi sfrutta la possibilità di eseguire codice con diritti di amministratore, l'accoppiata win+ie offre oppurtinità a palate per fare ciò, per il pinguino è un po più difficile (ma neanche troppo

)
Re: rootkit per mbr, rischio pure per il pinguino ?
Inviato: mar 15 gen 2008, 0:20
da marghe
se questo articolo è corretto per funzionare sfrutta alcune vulnerabilità del boot di windows
quindi anche in dual boot avviando linux il virus non dovrebbe funzionare, anche se la machina
si è infettata con windows
http://www.pillolhacking.net/ph/index.p ... 1200232822
Re: rootkit per mbr, rischio pure per il pinguino ?
Inviato: mar 15 gen 2008, 8:16
da tgmx
marghe ha scritto:se questo articolo è corretto per funzionare sfrutta alcune vulnerabilità del boot di windows
quindi anche in dual boot avviando linux il virus non dovrebbe funzionare, anche se la machina
si è infettata con windows
http://www.pillolhacking.net/ph/index.p ... 1200232822
Articolo interessante...
Re: rootkit per mbr, rischio pure per il pinguino ?
Inviato: mar 15 gen 2008, 9:21
da sid77
marghe ha scritto:per funzionare sfrutta alcune vulnerabilità del boot di windows
quali? non sfrutta alcuna vulnerabilità: è questo il suo punto di forza.
è "solamente" un bootloader moddato che si mette sotto il loader di windows e ne modifica il comportamento.
per il resto, l'articolo è scritto bene

Re: rootkit per mbr, rischio pure per il pinguino ?
Inviato: mar 15 gen 2008, 11:04
da marghe
Comunque se quello che ho letto è vero basta un fixmbr da windows per sovrascriverlo...
L'importante è avere a portata di mano poi il dvd di slackware per ripristinare lilo
IMPORTANTE: per chi non lo sapesse il comando fixmbr cancella lilo e permette
di avviare soltanto windows... quindi prima di farlo imparare a ripristinare lilo
Re: rootkit per mbr, rischio pure per il pinguino ?
Inviato: mar 15 gen 2008, 17:18
da tgmx
marghe ha scritto:Comunque se quello che ho letto è vero basta un fixmbr da windows per sovrascriverlo...
L'importante è avere a portata di mano poi il dvd di slackware per ripristinare lilo
IMPORTANTE: per chi non lo sapesse il comando fixmbr cancella lilo e permette
di avviare soltanto windows... quindi prima di farlo imparare a ripristinare lilo
Ma a questo punto non basta lanciare "lilo" per reinstallarlo? Almeno per chi è solito installare lilo nel MBR?
Re: rootkit per mbr, rischio pure per il pinguino ?
Inviato: mer 16 gen 2008, 0:36
da marghe
Si basta lanciare lilo per reinstallarlo nell'mbr (lilo), ma se tu prima hai dato fixmbr da windows non riuscirai
più ad avviare slackware, quindi dovrai bootare dal dvd di slackware chrootare nella tua root e lanciare lilo,
a quel punto lilo tornerà a funzionare
può darsi darsi che lanciando lilo direttamente vada a sovrascrivere l'eventuale rootkit, ma questo non lo so
io ho letto che fixmbr lo sovrascriveva
comunque il rootkit risiede nei settori 0 e 61, credo che l'mbr vada da 0 a 62,
SUPPONGO che lilo utilizzi lo 0 il che vuol dire secondo me che chi si infetta col rootkit già non ha più
lilo ma si ci avvia direttamente il pc con windows....
comunque le mie sono supposizioni... e sei hai dubbi di averlo pescato io farei un fixmbr da win riavvierei col dvd
e lancerei lilo... magari è esagerato però così dovresti essere tranquillo...
Re: rootkit per mbr, rischio pure per il pinguino ?
Inviato: mer 23 gen 2008, 21:31
da zetsu
marghe ha scritto:
comunque il rootkit risiede nei settori 0 e 61, credo che l'mbr vada da 0 a 62,
SUPPONGO che lilo utilizzi lo 0 il che vuol dire secondo me che chi si infetta col rootkit già non ha più
lilo ma si ci avvia direttamente il pc con windows....
secondo me no, infatti il rootkit (se non ho capito male) prima copia il settore 0 nel 62 poi si installa nello 0, ma al riavvio il rootkit fa partire dopo di se il settore 62... quindi lilo...
sbaglio?

Re: rootkit per mbr, rischio pure per il pinguino ?
Inviato: gio 24 gen 2008, 11:48
da marghe
zetsu ha scritto:
al riavvio il rootkit fa partire dopo di se il settore 62...
Io non l'ho capito così... il settore 62 è una copia dell'MBR originale utilizzata dal rootkit
per nascondersi e per nient'altro, almeno così ho capito dall'articolo linkato sopra...