http://www.zago.eti.br/firewall/rootkit.txt FAQ sobre rootkt e exploits, ferramentas utilizadas por um invasor Use CTRL+F para refinar a pesquisa. Linha de: **************** separa mensagens ou tópicos. ******************************************************** Zago http://www.zago.eti.br/menu.html FAQ e artigos sobre Linux veja neste diretorio (site) outros FAQ sobre segurança e firewall http://www.zago.eti.br/firewall/ rootkit-continuacao.txt seguran.txt invasao.txt http://www.zago.eti.br/firewall/invasao.txt ******************************************************** ******************************************************** ******************************************************** De:  Thiago Macieira Para:  linux-br@bazar2.conectiva.com.br Assunto:  Re: (linux-br)Warning: Possible LKM Trojan installed (ou alarme falso?) Data:  Mon, 15 Dec 2003 00:08:25 -0200 -----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Alberto Carneiro Filho wrote: >Prezados, > >Ao executar o chkrootkit 0.42b na minha máquina Conectiva 9 com Kernel >2.4.21-31301U90_11cl, obtive o aviso de que haveriam processos >escondidos ao programa "ps" e que possívelmente estaria infectada por >um cavalo de tróia LKM. E o mesmo aconteceu em outra máquina com o >Kernel 2.4.21-28872cl. >Verificando melhor, percebi que esse aviso só é mostrado quando >determinados programas, que creio utilizem-se de threads de execução, >estão na memória, como o Mozilla e o Java. [corta] >Minha máquina está realmente infectada ou será um alarme falso? >Alguém pode me ajudar? Acredito ser um alarme falso. Eu já tive exatamente o mesmo problema que você e outra pessoa reportou exatamente a mesma coisa -- inclusive com a mesma conclusão. O problema é aparentemente devido ao fato de o programa ps que vem com o Conectiva não funcionar corretamente com a opção 'm' para mostrar/esconder os threads. Aí o chkrootkit se confunde e diz que você está infectado. - --   Thiago Macieira  -  Registered Linux user #65028    thiagom@mail.com               ICQ UIN: 1967141 ******************************************************** Bem, se realmente é esse o problema, então a tentativa foi um sucesso, né? :) Olha, pode não ser esse o caso. Pode tratar-se de algum vírus na rede interna, por exemplo. Tem antivírus aí? É que o tráfego tá saindo... Se pelo menos fosse nos dois sentidos... :) Muito estranho... De qualquer forma, o básico pra tentar descobrir o que foi que te atingiu: comece instalando e rodando o chkrootkit. Vc pode pegar em www.chkrootkit.org . Descomprima, dê um make, e depois um ./chkrootkit . Se ouver um rookit no seu micro, há uma chance enorme dele encontrar. Outra coisa, é determinar se há processos estranhos ouvindo nas portas do seu servidor: vc vai precisar do programa lsof, disponível em ftp://vic.cc.purdue.edu/pub/tools/unix/lsof/lsof.tar.gz Compile e instale, depois rode: lsof -i | grep LIS Isso vai mostrar todos os processos que estão "ouvindo". Não adianta usar netstat, nem qualquer outro comando do sistema, como ifconfig e ps xuwa. Se realmente o seu micro já foi invadido, provavelmente eles estão comprometidos. Uma outra pista interessante: geralmente, os logs e demais informações produzidas por um eventual rootkit ficam armazenados sob o /dev, que tem uma tonelada e meia de arquivos. Para descobrir quais poderiam ser, sem ler e entender um por um, vc pode listar os arquivos que sejam regulares (condição anormal pra quem está no /dev): find /dev -type f -ls Bom, começa por aí. Com certeza há mais para fazer, e os gurus da lista podem acrescentar mais um monte de sugestões. Mas tem que começar por algum lugar. Me fala se foi... :) Um []ção 3dv Limeira/SP ----- Original Message ----- From: "Alessandro de Freitas" Sent: Tuesday, March 12, 2002 12:49 PM > Ola pessoal acho que estou sendo alvo de tentativas de invasão. > Em minha rede tenho 01 servidor Firewal 01 DNS e 01 WEB em um link de 64 K > direto com a embratel. Todos CL 7.0 Kernel 2.4. De-repente minha conexão > ficou super lenta. > Verifiquei o gráfico de analise de trafego e me indicou um altíssimo volume > de trafego na sadia do link e mínimo na entrada. ******************************************************** ******************************************** De:  Halley Souza - Leal Moreira Para:  seguranca@distro2.conectiva.com.br Assunto:  Re: [seguranca] Exploit local falha do kernel 2.4.18-3 Data:  Tue, 2 Dec 2003 15:35:55 -0200 Tente explorar o ptrace/kmod! http://packetstormsecurity.nl/0304-exploits/ptrace-kmod.c Ats. Halley Souza - halley@lealmoreira.com.br ----- Original Message ----- From: "NetCrusher" To: Sent: Tuesday, December 02, 2003 3:51 PM Subject: [seguranca] Exploit local falha do kernel 2.4.18-3 Olá, estou precisando de um exploit local para a distribuição R.H 7.3  2.4.18-3 i586 Não para "invadir" nenhum servidor não.. quer dizer, é para invadir um servidor de wireless(que está em uma rádio) da minha empresa. Eu preciso alterar a senha deste servidor e só tenho acesso remoto como um usuário que não tem permissão para escrita(pois o grande admin do servidor perdeu a senha). Atenciosamente, NetCrusher De:  Rodrigo Barbosa Para:  seguranca@distro2.conectiva.com.br Assunto:  Re: Fw: [seguranca] Exploit local falha do kernel 2.4.18-3 Data:  Tue, 2 Dec 2003 16:34:05 -0200 -----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 "NetCrusher" ... "intendeu" ... isso esta me cheirando a scriptkid. De qualquer forma, pode ser que não seja, por isso: - - Não use exploits que você não entende como funciona. Você pode causar   mais danos do que espera. - - Esta é uma lista de segurança, e não de hackers. As pessoas aqui   não ficam distribuindo exploits para contornar as deficiências de   administradores de rede Obrigado On Tue, Dec 02, 2003 at 04:23:09PM -0200, NetCrusher wrote: > Não sei se vc leu o que eu disse.. mas quero repitir pela última vez.. ESTOU > UM POUCO LONGE DO SERVIDOR, o servidor se encontra no PY e eu no BR. Eu > tenho acesso remoto, mas não com prioridades, e o admin esqueceu a senha.. > intendeu? > > Atencious, NetCrusher > De:  Leonardo Rodrigues Magalhães Para:  seguranca@distro2.conectiva.com.br Assunto:  Re: Fw: [seguranca] Exploit local falha do kernel 2.4.18-3 Data:  Tue, 2 Dec 2003 18:00:54 -0300     De certa forma é verdade sim. Um exploit nunca deveria causar alterações em binários ..... mas o que acontece é que não muito raramente, são divulgados exploits que não são exploits de verdade e sim trojans ou simplesmente programas pra sacanear quem executar aquilo. A alguns dias mesmo, uns 20-25 dias, foi divulgado um exploit na bugtraq que depois de alguns dias o pessoal percebeu que o código dele executava um 'rm -rf /' depois de conseguir root pelo serviço :) Outros vários exploits já foram divulgados e, na verdade, eles não faziam NADA a não ser instalar um worm na máquina ou iniciar um serviço ssh em uma porta diferente .... esse tipo de coisa.     Pense na situação: alguém divulga um exploit falando que 'exploit for apache 1.3.29 and 2.0.48' ..... pensa no TANTO de gente que vai baixar, compilar e executar esse xploit na HORA !!!!     Claro, tem muuuuuuita gente querendo sacanear os script kiddies ....... e por isso eu acho muito válida a sugestão de tomar cuidado ao utilizar exploits, mesmo que seja para 'seu próprio bem'. Claro, não vale generalizar e falar que TODOS exploits fazem isso. Pelo contrário. Muitos grupos são sérios e realmente fazem exploits de qualidade. Mas sempre vai existir aquela turminha 'espírito de porco' .....     Atenciosamente,     Leonardo Rodrigues > Hmmm.. vc perdeu uma chance de permanecer calado, pois desde quando stack ou > buffer overflows(entre outras condições nas quais vc consegue o #) causam > alteranções em binário? Então quer dizer tmb que um exploit coloca sniffers? > Poxa.. vc é bom mesmo hein! > > > Concordo com todos na lista, em primeiro lugar quando usa-se um exploit > > tem que saber muito bem o que ele faz. Pois em alguns casos ele dará o > > acesso como root, irá realizar alterações em binários, colocará > > sniffers, etc. Podendo comprometer toda a segurança na rede. De:  rod-linux Para:  seguranca@distro2.conectiva.com.br Assunto:  Re: Fw: [seguranca] Exploit local falha do kernel 2.4.18-3 Data:  03 Dec 2003 08:04:28 -0200 Bom... Agora vc mexeu comigo... se vc estudasse um pouco os exploit veria que alguns tem imbutido vírus, sniffers, entre outros... bom eu estudo exploits, rootkit, entre outros, e sei usa-los tb, coisa que vc nem sabe ler um readme ou ler o código fonte do programa, então antes de ficar zoando os outros, é bom vc ter absoluta certeza do que está falando.... Se quiser posso detalhar mais sobre exploits, rootkit ou outros ataques de iniciantes. Se vc fosse um pouquinho experto saberia usar os exploits sem problema... agora eu trabalho com isso faz tempo.. eu posso dizer sem problema que entendo do assunto, enquanto vc demonstrou ser um administrador que não sabe direito o que são exploits e como agem, aplicando em seu sistema. Tomare que esse que vc colocou tenha algum desses conceitos. So pra vc ver do que estou falando. Então vc que perdeu a chance de ficar calado. So mais uma coisinha vc usa wireless... se vc fosse estudaria mais um pouco sobre o assunto... e veria facilmente que esse tipo de rede tem suas deficiencias.. que por curiosidade se for vc que administra ... creio eu que deva estar totalmente desprotegida. Tente pesquisar no google. Atenciosamente Rodrigo Linux De:  rod-linux Para:  seguranca@distro2.conectiva.com.br Assunto:  [seguranca] Explicação Data:  03 Dec 2003 09:19:48 -0200 Bom pessoal da lista... Existem exploits que somente darão acesso como root, explorando alguma falha do sistema. Mas existem alguns exploits que vem junto com rootkits que esses sim farão alterações em binários e as demais alterações que possam afetar um sistema. Eu ja estudei alguns rootkits existentes e verifiquei esse tipo de alterações, como as mudanças feitas no sistema. Sei do que estou falando. Nunca foi minha intenção nessa lista de ofender alguém, mas nosso amigo NetCrusher esta sendo ignorantes com todos, pelas mensagens retornadas a lista. Se vcs quiserem posso até enviar um email explicando sobre rootkits e suas gerações. OK. Obrigado pela atenção de todos. ******************************************************** De:  webmaster@cnbf.org.br Para:  linux-br@bazar2.conectiva.com.br Assunto:  (linux-br)chkrootkit (LKM Trojan) - solução Data:  Mon, 29 Mar 2004 08:57:28 -0300 recentemente enviei uma mensagem sobre problemas com o chkrootkit (LKM Trojan), com java rodando na máquina... como não obtive resposta alguma corrí atrás e descobri que o problema esta na maneira como o linux e a VM da SUN lidam com threads, como o kernel que utilizo é da série 2.6 e a VM da SUN não segue o mesmo padrão que o kernel p/ lidar com threads, e ainda o linux implementa threads como processos, o ps (não sei é apenas na minha distro) fica "confuso", consequentemente ocasionando o problema no chkrootkit indicando processos (java threads) escondidos do ps... ou seja: é alarme falso! acredito que este problema se resolverá quando a SUN alterar a maneira como a VM lida com threads... ******************************************************** De:  Marcelo Vivan Borro Para:  webmaster@cnbf.org.br Cc:  linux-br@bazar2.conectiva.com.br Assunto:  Re: (linux-br)chkrootkit (LKM Trojan) - solução Data:  Mon, 29 Mar 2004 13:31:11 -0300 Este problema está no FAQ do chkrootkit.   Tal evento também ocorre com o kopete. Marcelo Vivan Borro webmaster@cnbf.org.br escreveu: recentemente enviei uma mensagem sobre problemas com o chkrootkit (LKM > Trojan), com java rodando na máquina... como não obtive resposta alguma corrí > atrás e descobri que o problema esta na maneira como o linux e a VM da SUN > lidam com threads, como o kernel que utilizo é da série 2.6 e a VM da SUN não > segue o mesmo padrão que o kernel p/ lidar com threads, e ainda o linux > implementa threads como processos, o ps (não sei é apenas na minha distro) > fica "confuso", consequentemente ocasionando o problema no chkrootkit > indicando processos (java threads) escondidos do ps... ou seja: é alarme > falso! acredito que este problema se resolverá quando a SUN alterar a maneira > como a VM lida com threads... ******************************************************** ******************************************************** ******************************************************** ********************************************************