Anunţ

Caută printre mesajele de pe forum înainte de a scrie unul nou!
Formulează corect întrebarea sau problema pe care o ai.
Respectă regulile forumului și Codul de Conduită!

#1 20 Mar 2016 22:31:56

oldred
Membru
Locaţie: Oradea
Înregistrat: 13 Feb 2008
Mesaje: 92

chkrootikit afiseaza posibila infectare

Buna seara!
Folosesc:

Cod:

Linux 4.2.0-34-generic #39-Ubuntu SMP Thu Mar 10 22:13:01 UTC 2016 x86_64 x86_64 x86_64 GNU/Linux
chkrootkit version 0.50

La o scanare:

Cod:

Searching for Linux/Ebury - Operation Windigo ssh...        Possible Linux/Ebury - Operation Windigo installetd

Am verificat:

Cod:

sudo netstat -nap | grep "@/proc/udevd"
find /lib* -type f -name libns2.so

Nu au output nici una, in schimb:

Cod:

 ssh -G 2>&1 | grep -e illegal -e unknown > /dev/null && echo "System clean" || echo "System infected"
System infected

Am inteles ca e o problema la "ssh -G" in wily... Sa stam linistiti?

Offline

 

#2 21 Mar 2016 11:58:26

guletz2002
Membru
Locaţie: Brasov
Înregistrat: 09 Sep 2009
Mesaje: 1512

Re: chkrootikit afiseaza posibila infectare

Verifica daca exista optiunea "ssh -G", la mine ssh zice ca nu are optiunea -G.

Cod:

unknown option -- G

In schimb din ce vad eu pe net:

"Windigo Indicators of Compromise (IOC)

If you run a Linux server and you are worried it might be infected, they provide a few techniques (indicators of compromise) to check if the server is hacked.

For Linux/Ebury. Run the ssh -g command. If it returns an error about missing argument, you know you are compromised.
For Linux/CDorked. Run curl to favicon.iso and see if you get redirected to Google.com. If you do, you know you are compromised."


Daca retea Nu e, atunci nimic nu e !!!
LiCo : Proud GNU/Linux User since 2003.

Offline

 

#3 21 Mar 2016 13:09:11

wladypauly
Membru
Locaţie: Pascani
Înregistrat: 14 Jun 2011
Mesaje: 4822
Site web

Re: chkrootikit afiseaza posibila infectare

Fix la fel am eu pe 16.04, desktop (nu server). Am citit pe aiciși cică aș fi infectat, pe de altă parte unii zic că e un false positive, ca în cazul lui Wily. Iar la comanda

Cod:

ipcs -m

n-am nicăieri root, cum zice acolo c-ar fi în cazul unei infectări.
Pe 14.04 n-am nicio eroare/avertisment legat de Ebury, dar am ceva legat de Suckit. Dar rkhunter zice că nu-l am, BitDefender la fel. Am citit câte ceva și despre asta, și cică tot un false positive ar fi, chkrootkit ar omite niște chestii, dar nu înțeleg prea bine, că-s diletant în materie...


Răspunsul va fi pe măsura întrebării!
I am curious. Since I'm not a cat, that's not dangerous. House M.D.
(Adică ceva de genul „Curioșii mor repede, dar nu mor proști”)

Offline

 

#4 21 Mar 2016 13:53:35

gbagape
Membru
Locaţie: Constanta
Înregistrat: 10 Aug 2011
Mesaje: 903

Re: chkrootikit afiseaza posibila infectare

La mine la comanda

Cod:

ssh -G 2>&1 | grep -e illegal -e unknown > /dev/null && echo "System clean" || echo "System infected"

zice așa

Cod:

System clean

iar la

Cod:

ipcs -m

îmi zice așa

Cod:

------ Shared Memory Segments --------
key        shmid      owner      perms      bytes      nattch     status      
0x00000000 622592     gbagape    600        393216     2          dest         
0x00000000 327681     gbagape    600        1048576    2          dest         
0x00000000 360450     gbagape    600        393216     2          dest         
0x00000000 458755     gbagape    600        524288     2          dest         
0x00000000 655364     gbagape    600        393216     2          dest         
0x00000000 753669     gbagape    600        393216     2          dest         
0x00000000 917510     gbagape    600        393216     2          dest         
0x00000000 1572871    gbagape    600        524288     2          dest         
0x00000000 1114120    gbagape    600        524288     2          dest         
0x00000000 1146889    gbagape    600        524288     2          dest         
0x00000000 1245194    gbagape    600        393216     2          dest         
0x00000000 16842763   gbagape    600        393216     2          dest         
0x00000000 16941068   gbagape    600        524288     2          dest         
0x00000000 1703949    gbagape    600        2097152    2          dest         
0x00000000 1507342    gbagape    600        524288     2          dest         
0x00000000 1540111    gbagape    600        33554432   2          dest         
0x00000000 1998864    gbagape    600        393216     2          dest         
0x00000000 16973841   gbagape    600        393216     2          dest         
0x00000000 17072146   gbagape    600        524288     2          dest         
0x00000000 3702803    gbagape    600        524288     2          dest         
0x00000000 2588692    gbagape    600        524288     2          dest         
0x00000000 19529749   gbagape    600        393216     2          dest         
0x00000000 19628054   gbagape    600        524288     2          dest         
0x00000000 3407895    gbagape    600        524288     2          dest         
0x00000000 3440664    gbagape    600        1048576    2          dest         
0x00000000 17367065   gbagape    700        862400     2          dest         
0x00000000 3735578    gbagape    600        393216     2          dest         
0x00000000 19890203   gbagape    600        524288     2          dest         
0x00000000 19922972   gbagape    600        4194304    2          dest         
0x00000000 19955741   gbagape    600        393216     2          dest         
0x00000000 20054046   gbagape    600        524288     2          dest         
0x00000000 20086815   gbagape    600        393216     2          dest         
0x00000000 12025916   gbagape    600        524288     2          dest         
0x00000000 12058687   gbagape    600        4194304    2          dest

la

Cod:

rkhunter -c

am 3 atenționări

Cod:

 /usr/bin/unhide.rb                                           [ Warning ]
Performing filesystem checks
      Checking /dev for suspicious file types                   [ Warning ]
      Checking for hidden files and directories                [ Warning ]

Editat ultima oară de gbagape (21 Mar 2016 14:01:47)


Degeaba porți capul pe umeri dacă nu știi când să'l folosești.
Skype: gbagapegb1
Yahoo:gbagape
Ubuntu User # 34906,http://linuxcounter.net/user/551248.html

Offline

 

#5 21 Mar 2016 18:50:44

guletz2002
Membru
Locaţie: Brasov
Înregistrat: 09 Sep 2009
Mesaje: 1512

Re: chkrootikit afiseaza posibila infectare

Ca idee, orice soft care cica detecteaza virusi/mallware/etc pe baza de "anumite semnaturi" sunt "istorie" de cel putin cativa ani. Ajuta poate in unele situatiii, dar nu ofera CERTITUDINI. Deasemenea sunt si f multe situatii cand dau rateuri. Asta nu zic eu ci taticul la primul antivirus bazat pe semnaturi.
   Dupa mine, singura metoda care nu da rateuri, este cea bazata pe sume de control(md5/sha).

  Ideea e f simpla (keep it simple stupid), se calculeaza sume de control pt fisierele sensibile (/usr, /bin, /sbin, /etc, samd), plecand de la un sistem proaspat instalat si presupus curat. Daca nu fac modificari in acele fisiere, atunci acele sume de control nu se modifica decat daca am prins un virus/hack/etc.

   Evident, calcularea acestor sume ar trebui sa fie facuta de un alt sistem, din motive evidente.  Sunt multe soft-ri care pot face asta.  Unele o fac mai bine, altele mai prost.

  Rezultatul ..... vad si eu ca tool-ul X(rootkit/whatever) bazat pe semnaturi zice ca am o problema ..... pt ca am o chestie nasoala rau in /cale/basme. Si cand ma uit ca /cale/basme are acceasi suma de control ca si acu 3 luni .... si mai stiu ca la mine /cale/basme este montat read-only,  cred ca unii uita sa vada in calendar ca scrie 2016, si nu 19xy.
   Concluzia mea: folositi scule adegvate anului curent smile

Editat ultima oară de guletz2002 (21 Mar 2016 19:01:33)


Daca retea Nu e, atunci nimic nu e !!!
LiCo : Proud GNU/Linux User since 2003.

Offline

 

#6 21 Mar 2016 21:34:57

oldred
Membru
Locaţie: Oradea
Înregistrat: 13 Feb 2008
Mesaje: 92

Re: chkrootikit afiseaza posibila infectare

@guletz2002: merci!
Inca una... Dupa un update && upgrade si un nou run la chkrootkit:

Cod:

owing user process(es) were not found
 in /var/run/utmp !
! RUID          PID TTY    CMD
! root         1218 tty7   /usr/bin/X -core :0 -seat seat0 -auth /var/run/lightdm/root/:0 -nolisten tcp vt7 -novtswitch
chkutmp: nothing deleted

Cod:

stat /var/run/utmp
  File: ‘/var/run/utmp’
  Size: 2304            Blocks: 8          IO Block: 4096   regular file
Device: 12h/18d Inode: 721         Links: 1
Access: (0664/-rw-rw-r--)  Uid: (    0/    root)   Gid: (   43/    utmp)
Access: 2016-03-21 20:36:12.973649725 +0200
Modify: 2016-03-21 20:27:31.647161768 +0200
Change: 2016-03-21 20:27:31.647161768 +0200
 Birth: -

Din informatiile culese, permisiunile sunt bune (0664)... De ce aceasta avertizare? Merci inca odata!

Offline

 

#7 21 Mar 2016 22:15:35

guletz2002
Membru
Locaţie: Brasov
Înregistrat: 09 Sep 2009
Mesaje: 1512

Re: chkrootikit afiseaza posibila infectare


Daca retea Nu e, atunci nimic nu e !!!
LiCo : Proud GNU/Linux User since 2003.

Offline

 

#8 21 Mar 2016 22:19:14

bula20
Membru
Înregistrat: 18 Jan 2016
Mesaje: 498

Re: chkrootikit afiseaza posibila infectare

Pai si pina la urma a fost infectat sau nu , ca nu am inteles, rootkitul asta ramine in sistem  "degeaba" nu face si el nimic. Asta(rootkitul)  acceseaza si el niste resurse de mail de ssh, telnet etc si asta se observa din logurile de system sau este asa de subtil ca nu face nimic ....


Procesor:GenuineIntel ,Intel(R) Atom(TM) CPU  230   @ 1.60GHz, placa video intel G945,
2GB ram, 160GB hdd.

Offline

 

#9 21 Mar 2016 22:57:39

oldred
Membru
Locaţie: Oradea
Înregistrat: 13 Feb 2008
Mesaje: 92

Re: chkrootikit afiseaza posibila infectare

Pfff... 2006? Aceasi problema din 2006? Am intrat intr-o ceata totala... Sunt infectat sau nu? smile)

Offline

 

#10 22 Mar 2016 09:38:06

bula20
Membru
Înregistrat: 18 Jan 2016
Mesaje: 498

Re: chkrootikit afiseaza posibila infectare

Dezinfecția asta sau depistarea infectării se face cu un sistem curat după care se montează mediul așa zis cu probleme si sa vede rezultatul.


Procesor:GenuineIntel ,Intel(R) Atom(TM) CPU  230   @ 1.60GHz, placa video intel G945,
2GB ram, 160GB hdd.

Offline

 

#11 22 Mar 2016 18:00:53

guletz2002
Membru
Locaţie: Brasov
Înregistrat: 09 Sep 2009
Mesaje: 1512

Re: chkrootikit afiseaza posibila infectare

E greu de zis daca esti sau nu infectat .... sunt argumente si pro si contra dupa mine, dar cum nu sunt un expert nu ma hazardez sa zic, eu zic daca "stiu/cred" ce scriu/spun. Unde am dubii ca acum ma abtin. Dar ai putea face cateva lucruri care sa faca lumina. Deci acesta potentiala infectare, daca e adevarata, afecteaza ssh-ul. AI putea inncerca sa re-instalezi pachetele critice din sistem(recomnadabil de facut din cand in cand - cum ar fi ssh*, iptables, glibc*, kernel*, si altele asemenea). Tot util ar fi sa faci niste reguli in firewall pe altceva ... daca ai si daca se poate(gen router - unele routere pot face asta usor) o regula in care sa vezi daca se fac conexiuni noi ssh dinspre acel desktop spre Internet. Oricum varianta cea mai sigura, e sa copii doar ce e strict necesar de pe acel Desktop pe altceva(documente sau ce stii tu ca ai nevoie sa pastrezi), si apoi sa razi totul de pe el si sa faci o re-instalare de la zero(verificand inclusiv md5sum-ul de la DVD-ul de instalare inainte de a face instalarea).
  Dupa ce ai pus minimal ce trebuie, poate te gandesti la un sistem care iti poate zice cu siguranta de aproape 100% daca ai fost infectat sau nu - vezi postul meu anterior despre sume de control. Nu e chiar simplu de implementat, dar nici imposibil. Unul din tool-le care pot face asta in conditii optime(si gandit din start pt asta) ii zice ossec. Mai sunt si altele .... mai bune, mai proaste, sau asa si asa ....!

Bafta


Daca retea Nu e, atunci nimic nu e !!!
LiCo : Proud GNU/Linux User since 2003.

Offline

 

#12 24 Mar 2016 05:41:14

oldred
Membru
Locaţie: Oradea
Înregistrat: 13 Feb 2008
Mesaje: 92

Re: chkrootikit afiseaza posibila infectare

Ok, multumesc din nou! Am reinstalat sistemul, instalez ce mai am nevoie si incep sa ma documentez in ossec.Merci din nou, bafta si tie!

Offline

 

#13 24 Mar 2016 21:07:37

oby2001ro
Membru
Locaţie: Ploiești
Înregistrat: 26 Jan 2013
Mesaje: 1032
Site web

Re: chkrootikit afiseaza posibila infectare

Mai există varianta în care tu, ca utilizator, ai modificat ceva în sistem (driver instalat manual, schimbarea parolei sudo, modificarea grupurilor de utilizatori, etc), să îți arate acele avertismente. Îmi dau și eu cu presupusu'...

Editat ultima oară de oby2001ro (24 Mar 2016 21:08:43)


Sunt și voi rămâne nou în Linux!

Offline

 

#14 11 Apr 2016 20:13:56

oldred
Membru
Locaţie: Oradea
Înregistrat: 13 Feb 2008
Mesaje: 92

Re: chkrootikit afiseaza posibila infectare

Ca si concluzie, as zice ca OSSEC inlocuieste fail2ban, chkrootkit si rkhunter si o face foarte bine! Setarile nu sunt foarte greu de facut (la prima vedere). Multumesc mult @guletz2002!

Offline

 

#15 11 Apr 2016 21:56:08

guletz2002
Membru
Locaţie: Brasov
Înregistrat: 09 Sep 2009
Mesaje: 1512

Re: chkrootikit afiseaza posibila infectare

Greșești....  Eu zic ca e bine sa le folosești pe toate. E posibil ca la un moment dat, unul din ele sa fie spart/păcălit de un inamic. Dar e f. greu sa le păcălești pe toate odată.  Și pt ca eu sunt mai catolic decât papa, fac o testare cu ossec de pe ceva remote...  care montează prin ssh sistemul de verificat. Asta fac săptămânal..... pt ca știu ca nimic nu e sigur, inclusiv propriile mele opinii/certitudini.


   Mai poți face încă ceva..... toți avem și prieteni. Roagă un prieten care știe linux, sa se uite peste ce ai făcut....  crede-mă ca merita!


PS.  Apreciez faptul ca ai scris Mulțumesc.  Asta ma face sa continui sa scriu răspunsuri(bune/rele, după cum ma pricep)


Daca retea Nu e, atunci nimic nu e !!!
LiCo : Proud GNU/Linux User since 2003.

Offline

 
Feed

Antet forum

Powered by FluxBB