Re: Cavalo de Troia LKM

[Still]

Galera;

* Musashi corta a msg que Fabricio Cannini Flores enviou para Still:
> Completando o assunto,
> li isto numa página que dá dicas sobre como aumentar a segurança de 
> máquinas Linux (mais especificamente, Debian).
> Ao que parece, há um exploit do kernel solto por aí.
> Mas este negócio do trojan é um defeito do LKM, conforme diz a página. 
> 
> http://www.wiggy.net/debian/developer-securing 

Só para completar mais ainda:

#

Checking `lkm'... You have 4 process hidden for ps command
Warning: Possible LKM Trojan installed

You can get more info by running it in expert verbose mode, here is an
example,

$ chkrootkit -x lkm
ROOTDIR is `/'
###
### Output of: ./chkproc -v -v
###
PID 4: not in ps output
CWD 4: /
EXE 4: /
PID 5: not in ps output
CWD 5: /
EXE 5: /
PID 6: not in ps output
CWD 6: /
EXE 6: /
PID 7: not in ps output
CWD 7: /
EXE 7: /
You have 4 process hidden for ps command

Check the /proc//status file for the name of the process. Example:

$ cat /proc/[4-7]/status |grep Name
Name:   ksoftirqd_CPU0
Name:   kswapd
Name:   bdflush
Name:   kupdated

The lkm check is known to produce false positives for NPTL kernels
(2.6 kernels or 2.4 with NPTL patches). Common multithreaded programs
which will show this behaviour are slapd, mozilla and apache2 if you
use one of its threading MPMs.
The lkm check is known to fail on really slow machines. As processess
start up and exit, it thinks they are hidden.

[]'s,

Still
--
Nelson Luiz Campos  .''`. | I hear; I forget.
Engenheiro Eletricista : :'  :| I see; I remember.
Linux User #89621 UIN 11464303 `. `'` | I do; I understand.
gnupgID: 55577339`-   | Chinese Proverb


signature.asc
Description: Digital signature

Re: Cavalo de Troia LKM

[Fabricio Cannini Flores]

Completando o assunto,
li isto numa página que dá dicas sobre como aumentar a segurança de máquinas 
Linux (mais especificamente, Debian).

Ao que parece, há um exploit do kernel solto por aí.
Mas este negócio do trojan é um defeito do LKM, conforme diz a página. 

http://www.wiggy.net/debian/developer-securing 

[]'s 

PS: Se não entenderem, prendam o grito!! 




Stefano Martins disse: 

Cláudio Max wrote: 

Alguém tem alguma idéia da gravidade desta mensagem do chkrootkit? 


Checking `lkm'... You have 4 process hidden for readdir command
You have 4 process hidden for ps command
Warning: Possible LKM Trojan installed 


Andei examinando na rede e parece que é uma sacanagem que altera módulos
do núcleo. Detalhe, eu mesmo compilo meu núcleo e o crio monolítico, sem
gerenciador de módulos ou seja "no modulos, señor". 


Não estou em rede e só me conecto na internet por algum tempo à noite,
via linha discada.
Debian testing/unstable. 

Aparentemente não é nada, mas se alguém tiver algo a acrescentar eu 
adoraria. 



Abraço 

Cláudio 

  


caro claudio
eu nem sabia que existiam trojans pra gnu/linux
mas de qualquer jeito, eu acho que vc devia rodar um nmap ai 

#apt-get install nmap 

#nmap  

tem que ser o seu endereco ip externo, pra saber se seu pc estah 
vulneravel para pessoas foram da sua rede interna 

espero ter ajudado 

[]'s 

Stefano 

 


--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact 
[EMAIL PROTECTED] 





-
Linux, 'cause reboot is only to install hardware. 

Linux, pq reiniciar é só pra instalar hardware. 






--
POP. Nem parece internet grátis. 


Seja POP você também!
Acesse: http://www.pop.com.br/discador.html e baixe o POPdiscador.

Re: Cavalo de Troia LKM

[Stefano Martins]

Cláudio Max wrote:


Alguém tem alguma idéia da gravidade desta mensagem do chkrootkit?

Checking `lkm'... 
You have 4 process hidden for readdir command

You have 4 process hidden for ps command
Warning: Possible LKM Trojan installed

Andei examinando na rede e parece que é uma sacanagem que altera módulos
do núcleo. Detalhe, eu mesmo compilo meu núcleo e o crio monolítico, sem
gerenciador de módulos ou seja "no modulos, señor".

Não estou em rede e só me conecto na internet por algum tempo à noite,
via linha discada.
Debian testing/unstable.

Aparentemente não é nada, mas se alguém tiver algo a acrescentar eu 
adoraria.



Abraço

Cláudio

 


caro claudio
eu nem sabia que existiam trojans pra gnu/linux
mas de qualquer jeito, eu acho que vc devia rodar um nmap ai

#apt-get install nmap

#nmap 

tem que ser o seu endereco ip externo, pra saber se seu pc estah 
vulneravel para pessoas foram da sua rede interna


espero ter ajudado

[]'s

Stefano

Re: Cavalo de Troia LKM

[Fabricio Cannini Flores]

Já estás desatualizado  :-D
Linus lançou o 2.6.0-test11 hoje: 

http://kerneltrap.org/node/view/1684 


Eu uso o 2.4.20;
tem realmente alguma grande diferença
dos 2.4.2* pro's 2.6.0.test* ? 


Esse estudo comparando S.O's Livres (incluindo o Linux 2.6)
me fez 'brilhar os olhos', mas eu prefiro esperar pelo 'OK' definitivo
do Andrew Morton antes de trocar de kernel. 


http://bulk.fefe.de/scalability

[]'s 




Cláudio Max disse: 


Em Wed, 26 Nov 2003 14:42:11 -0200
"Fabricio Cannini Flores" <[EMAIL PROTECTED]> disse que: 

apt-get update  


Manja alguma coisa de iptables?
No cipsga (cipsga.org.br) tem um tutorial sobre isso. 


Tenho um firewall razoável (deu tudo ok no teste do... esqueci! :-) 


Nao seria má idéia recompilar o seu kernel e atualizá-lo
(2.4.22, por exemplo). 


Bom, na verdade eu uso o 2.6.0.test10... :-) 

Obrigado 

Cláudio 



--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED] 





-
Linux, 'cause reboot is only to install hardware. 

Linux, pq reiniciar é só pra instalar hardware. 






--
POP. Nem parece internet grátis. 


Seja POP você também!
Acesse: http://www.pop.com.br/discador.html e baixe o POPdiscador.

Re: Cavalo de Troia LKM

[Cláudio Max]

Em Wed, 26 Nov 2003 14:42:11 -0200
"Fabricio Cannini Flores" <[EMAIL PROTECTED]> disse que:

> apt-get update 
> 
> Manja alguma coisa de iptables?
> No cipsga (cipsga.org.br) tem um tutorial sobre isso. 

Tenho um firewall razoável (deu tudo ok no teste do... esqueci! :-)

> Nao seria má idéia recompilar o seu kernel e atualizá-lo
> (2.4.22, por exemplo). 

Bom, na verdade eu uso o 2.6.0.test10... :-)

Obrigado

Cláudio

Re: Cavalo de Troia LKM

[Cláudio Max]

Em Wed, 26 Nov 2003 23:33:04 -0200
Pablo Lorenzzoni <[EMAIL PROTECTED]> disse que:

> bash# chkrootkit -x lkm
> 
> Ele deve retornar informacoes sobre os pretensos processos ocultos que
> levantaram o alerta. Anote o PID e procure o status dele na interface
> /proc (/proc/)
> 
> Se vierem de modulos/processos nos quais vc confia, naum se preocupe e
> deh o caso por encerrado.

EXE   783: /usr/lib/mozilla-firebird/MozillaFirebird-bin

Todos eram do mozilla, do meu usuário.
kill -9 783 
matou todos os processos e derrubou o mozilla que eu pedi pra abrir.
Alarme falso. Caso Encerrado. 

Obrigado

Cláudio

Re: Cavalo de Troia LKM

[Pablo Lorenzzoni]

Olah!

A maioria das vezes eh alarme falso. O alerta de LKM aparece toda a vez
q vc tiver modulos/processos ocultos... Um desses processos "legal" eh,
por exemplo, o swap.

Vc deve procurar quais saum esses processos. Se o problema eh soh com a
verificacao do lkm, deh o seguinte comando:

bash# chkrootkit -x lkm

Ele deve retornar informacoes sobre os pretensos processos ocultos que
levantaram o alerta. Anote o PID e procure o status dele na interface
/proc (/proc/)

Se vierem de modulos/processos nos quais vc confia, naum se preocupe e
deh o caso por encerrado.

[]s

Pablo

Em Ter, 25 Nov 2003, Cláudio Max escreveu:
| Checking `lkm'... 
| You have 4 process hidden for readdir command
| You have 4 process hidden for ps command
| Warning: Possible LKM Trojan installed
 
| Aparentemente não é nada, mas se alguém tiver algo a acrescentar eu 
| adoraria.
-- 
Pablo Lorenzzoni (Spectra) <[EMAIL PROTECTED]>
GnuPG: 0x268A084D at pgp.mit.edu/keyring.debian.org
This message is protected by DoubleROT13 encryption
Attempting to decode it violates the DMCA/WIPO acts

Re: Cavalo de Troia LKM

[Fabricio Cannini Flores]

apt-get update 


Manja alguma coisa de iptables?
No cipsga (cipsga.org.br) tem um tutorial sobre isso. 


Nao seria má idéia recompilar o seu kernel e atualizá-lo
(2.4.22, por exemplo). 

HIHU 

[]'s 



Cláudio Max disse: 

Alguém tem alguma idéia da gravidade desta mensagem do chkrootkit? 

Checking `lkm'... 
You have 4 process hidden for readdir command

You have 4 process hidden for ps command
Warning: Possible LKM Trojan installed 


Andei examinando na rede e parece que é uma sacanagem que altera módulos
do núcleo. Detalhe, eu mesmo compilo meu núcleo e o crio monolítico, sem
gerenciador de módulos ou seja "no modulos, señor". 


Não estou em rede e só me conecto na internet por algum tempo à noite,
via linha discada.
Debian testing/unstable. 

Aparentemente não é nada, mas se alguém tiver algo a acrescentar eu 
adoraria. 



Abraço 

Cláudio 

--  



--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED] 





-
Linux, 'cause reboot is only to install hardware. 

Linux, pq reiniciar é só pra instalar hardware. 






--
POP. Nem parece internet grátis. 


Seja POP você também!
Acesse: http://www.pop.com.br/discador.html e baixe o POPdiscador.

Cavalo de Troia LKM

[Cláudio Max]

Alguém tem alguma idéia da gravidade desta mensagem do chkrootkit?

Checking `lkm'... 
You have 4 process hidden for readdir command
You have 4 process hidden for ps command
Warning: Possible LKM Trojan installed

Andei examinando na rede e parece que é uma sacanagem que altera módulos
do núcleo. Detalhe, eu mesmo compilo meu núcleo e o crio monolítico, sem
gerenciador de módulos ou seja "no modulos, señor".

Não estou em rede e só me conecto na internet por algum tempo à noite,
via linha discada.
Debian testing/unstable.

Aparentemente não é nada, mas se alguém tiver algo a acrescentar eu 
adoraria.


Abraço

Cláudio

--