RE: [FreeBSD] chkrootkit ve lkm

[mehmet celik]

 
Mesut hocam, LKM trojani yuklu olabilir diyor :)) Trojan icin INFECTED olarak 
gosterilen
herhangi bir dosya gosteriliyo mu ?
 
Hocam, sisteminizi bu tarz trojanlara karsi kontrol edebilirsiniz, ama biraz 
caba ve ugras
isteyecektir.. Ayrica zekice yapilmis bir saldirinin sonuclarindan ziyade, ilk 
hamle cok
onemlidir.. Cunku saldirinin sonucu sisteme zarar vermeyebilir, siz bundan 
haberdar
olmayabilirsiniz ve bu uzun bir sure boyle devam edebilir. O zamanda keske 
sonucu
kotu bise olsaydi denebilir.. 
 
1998'den bu yana bir cok rootkit sistemde calisir calismaz, "last",  
"/tmp/wtmp",  "/tmp/utmp",
"/var/log/messages" dosyalardan otomatik olarak islemleri dair bilgileri 
temizlemektedir.
Hatta bir rootkit'in bash_history ile oynadigi ile ilgili bir yazi okumustum.. 
Sonuc olarak,
saldirinin sonucu deilde yontemi onemlidir. Engellemek veya ogrenmek ise 
belirttigim gibi
biraz zahmet ve ugras isteyecektir. Yani, sistemin belli bir sure zarfinda 
peryodik olarak
kontrol edilmesi oneriliyor.
 
Ornek olarak;
 
1) kldstat
    Sisteme yuklenmis modulleri izlemelisiniz. Genelde sonradan derlenmis 
kernellerde
    ciktinin sonucu olarak sadece kernel gorunmektedir. Ama default olarak 
kullanilan
    kernel'lar icin bu durum biraz farkli olmaktadir. Bu sebeple, sisteminizi 
kurduktan
    sonra kernel derlemek bir nebze guvenlik saglamaktadir. Olasi 
kullanilabilecek herseyi
    kernel'e gommek kontrol icin kolaylik saglamaktadir.
 
2) ps -aux
    Sistem uzerindeki surecleri izlemelisiniz. Ozellikle suphelendiginiz 
surecler icin pid kontrolu
    yapmalisiniz. Mesela bu andaki pid ile belli bir sure zarfi sonundaki pid 
karsilastirilmalidir. 
    PID'lerin farkli cikmasi sonucu, loglar kontrol edilmelidir. Neden farkli 
???
 
3) netstat
    LISTEN portlari takib etmelisiniz. Ufak bir  shell script ile sistemde  
olusturulacak
    backdoor v.s. kontrol edilebilir.. Sistem uzerinde varsa inetd gibi 
daemon'lari kontrol
    etmelisiniz. Bildiginiz  uzere inetd cok saglikli degildir.
 
4) lsof
    lsof ile surecleri, biraz daha detayli kontrol edebilirsiniz.
 
    # cd /usr/ports/sysutils/lsof ; make install
    # lsof -i
 
    dhclient 216 root 4u IPv4 0xc56b2654 0t0 UDP *:bootpc    syslogd 275 root 
4u IPv6 0xc56b2438 0t0 UDP *:syslog    syslogd 275 root 5u IPv4 0xc56b24ec 0t0 
UDP *:syslog    perl 391 root 4u IPv4 0xc5705000 0t0 TCP *:10000 (LISTEN)    
perl 391 root 5u IPv4 0xc56b2708 0t0 UDP *:10000    perl 393 root 3u IPv4 
0xc5704e60 0t0 TCP *:20000 (LISTEN)    perl 393 root 4u IPv4 0xc56b27bc 0t0 UDP 
*:20000
 
    # sockstat -4 | grep 10000
    Sockstat ile portun baglandigi binary tespit edilebilir.. Bunu izlemeye 
almaniz gerekir.
 
Mesut hocam, inanin aklima baska bise gelmiyo, insalla yardimci olur. Buarada 
chrootkit
icin patch olup olmadigini kontrol ederseniz sevinirim.. Gorusmek uzere..
 
Saygilarimla..
Mehmet CELIK
 
 
 
 
 


Date: Sun, 28 Oct 2007 18:50:52 +0200From: [EMAIL PROTECTED]: [EMAIL 
PROTECTED]: Re: [FreeBSD] chkrootkit ve lkmçıktıda LKM trojanı yüklü olabilir 
diyor. bundan nasıl emin olabilirim. ve varsa nasıl temizleyebilirim.
2007/10/27, mehmet celik <[EMAIL PROTECTED]>: 

 Mesut bey, sorunuzu belirttiniz mi acaba ? Ben pek anlayamadim.. chrootkit ile 
sistemi kontrol  etmek ve varolan aciklara mi bakmak istiyorsunuz ? Kisaca 
rootkit kullanma amacinizi anlatabilirseniz daha iyi olacaktir..  
Saygilarimla..Mehmet CELIK 


From: [EMAIL PROTECTED]: [EMAIL PROTECTED]: Sat, 27 Oct 2007 16:57:22 
+0300Subject: [FreeBSD] chkrootkit ve lkm

Şu şekilde bir çıktı almaktayım. Google araştırmalarım sonucunda tam olarak bir 
yere varamadım. Bir kaç forum da bunun chkrootkit in bir bug ı olduğunu 
belirtiyorlar. Bazılarında ise kernel modülleri ile ilgili çalışmalar 
yaptııryorlar. Konu hakkınd bilgisi edinebilirim ya da bundan nasıl emin 
olabilirim.. 
 
# chkrootkit lkm       
ROOTDIR is `/'
Checking `lkm'... You have   100 process hidden for readdir command
chkproc: Warning: Possible LKM Trojan installed
#
# find / -iname readdir*
/usr/local/lib/perl5/5.8.8/mach/auto/POSIX/readdir.al
/usr/local/include/php/TSRM/readdir.h
/usr/share/man/man3/readdir.3.gz
/usr/share/man/man3/readdir_r.3.gz
/usr/share/man/cat3/readdir.3.gz
/usr/src/lib/libc/gen/readdir.c
/usr/src/lib/libstand/readdir.c
/usr/obj/usr/src/lib/libc/readdir.o
/usr/obj/usr/src/lib/libc/readdir.So
/usr/obj/usr/src/lib/libstand/readdir.o
#
 
İyi çalışmalar...
 
Mesut GÜLNAZ
IEM
 

Boo! Scare away worms, viruses and so much more! Try Windows Live OneCare! Try 
now!-- İyi çalışmalar...Mesut GÜLNAZ 
_________________________________________________________________
Peek-a-boo FREE Tricks & Treats for You!
http://www.reallivemoms.com?ocid=TXT_TAGHM&loc=us