Re: [linux] Rootkit detetor
les rootkit, c'est une sorte de course: les techniques de détections contre
les teachnique d'évasion. Les rootkit kernel sont maintenant chose courantes
et permettent de cacher process et autres (tout se qu'on veut) sans patcher
du tout de binaire mais en changant les réponses des sycall que ces binaires
font --> ton ps est toujours bien le meme, mais le rootkit est bien la.
Les solutions ne sont pas trop génériques et souvent facile a éviter ...bref
c'est pas évident (solutions: check via /dev/kmem les structures du kernel,
mais facile a mettre en déroute)
Donc, le plus sur est de s'assurer qu'uncun rootkit ne rentre en faisant le plus
attention possible aux version de soft que l'on tourne.
On Thu, Oct 10, 2002 at 09:27:56AM +0200, Dominique Gallot wrote:
>
> Le but d'un rootkit est d'installer des backdoors pour permettre de garde
> l'access à une machine que l'on a 'hacker'
>
> Comment on se rend compte qu'on en a un
>
> Le but d'un bon rootkit est d'etres non detactable ( en remplacant des
> binaires clé de la distribution )
> cad en general top ps, le kernel lui meme ( par example pour oublier dans
> le /proc les process du rootkit )
> netstat login init
> rpm a une fct super qui permet de verifier les signatures des fichiers.
> Donc je fais un truc du genre
>
> file /bin/* | grep ELF | cut -f 1 -d : > /tmp/corefiles
> {
> while read n; do
> echo Verifying $n `rpm -Vf $n`
> done
> } < /tmp/corefiles
>
> et comment on peut l'enlever ?
>
> ben on réinstalle les binnaires.
>
>
>
>
> ___
> Linux Mailing List - http://www.unixtech.be
> Subscribe/Unsubscribe: http://www.unixtech.be/mailman/listinfo/linux
> Archives: http://www.mail-archive.com/linux@lists.unixtech.be
> IRC: efnet.skynet.be:6667 - #unixtech
--
-> Jean-Francois Dive
--> [EMAIL PROTECTED]
There is no such thing as randomness. Only order of infinite
complexity. - _The Holographic Universe_, Michael Talbot
___
Linux Mailing List - http://www.unixtech.be
Subscribe/Unsubscribe: http://www.unixtech.be/mailman/listinfo/linux
Archives: http://www.mail-archive.com/linux@lists.unixtech.be
IRC: efnet.skynet.be:6667 - #unixtech
Re: [linux] Rootkit detetor
Le but d'un rootkit est d'installer des backdoors pour permettre de garde
l'access à une machine que l'on a 'hacker'
Comment on se rend compte qu'on en a un
Le but d'un bon rootkit est d'etres non detactable ( en remplacant des
binaires clé de la distribution )
cad en general top ps, le kernel lui meme ( par example pour oublier dans
le /proc les process du rootkit )
netstat login init
rpm a une fct super qui permet de verifier les signatures des fichiers.
Donc je fais un truc du genre
file /bin/* | grep ELF | cut -f 1 -d : > /tmp/corefiles
{
while read n; do
echo Verifying $n `rpm -Vf $n`
done
} < /tmp/corefiles
et comment on peut l'enlever ?
ben on réinstalle les binnaires.
___
Linux Mailing List - http://www.unixtech.be
Subscribe/Unsubscribe: http://www.unixtech.be/mailman/listinfo/linux
Archives: http://www.mail-archive.com/linux@lists.unixtech.be
IRC: efnet.skynet.be:6667 - #unixtech
Re: [linux] Rootkit detetor
Salut, > > J'ai eu une pett merde ce soir, > Je viens de finir de retirer un beau ptt rootkit d'une de mes machine. > J'ai une bête question : c'est quoi encore un rootkit ? Comment on se rend compte qu'on en a un et comment on peut l'enlever ? Merci d'avance, Dom' le savant fou "C'est en essayant continuellement qu'on finit par réussir, donc plus ça rate plus on a de chance que ça marche !" Principe phylosophique Shadok ___ Linux Mailing List - http://www.unixtech.be Subscribe/Unsubscribe: http://www.unixtech.be/mailman/listinfo/linux Archives: http://www.mail-archive.com/linux@lists.unixtech.be IRC: efnet.skynet.be:6667 - #unixtech
Re: [linux] Rootkit detetor
chkrootkit est un tres bon tool, mais n'est pas du tout fait pour détecter ce genre de choses ! chkrootkit fonctionne sur le principe de signatures, il fait une série de checks qui mettent en évidence la présence d'un rootkit. Si tu veux savoir si tes fichiers ont été modifié, il faut bien comparer avec quelque chose de certain... tripwire et d'autes sont la pour t'aider. Attention toute fois, toute modification devrait se faire a partir d'un environnement saint et garantis, kernel inclus. JeF On Wed, Oct 09, 2002 at 08:12:51AM -0700, Dominique Gallot wrote: > J'ai eu une pett merde ce soir, > Je viens de finir de retirer un beau ptt rootkit d'une de mes machine. > > Ma question est simple. J'ai presque du verifier les Hash MD5 de tous les > fichiers via rpm. J'ai essaye un rootkit detector, > http://www.chkrootkit.org/ . Il n'a rien trouvé, alors que plus de 5 > fichiers important etait affecter ! > /bin/init /bin/strings ... etc > > Qu'y a t'il comme autre alternative a chkrootkit. > > Aussi. > Pour ceux qui ont une redhat. > - Patcher ou enlever le support SSL > - enlever le sticky bit de linuxconfig ... ( c'est comme cela qu'ils ont > eu l'access root ) > > > Dominique Gallot > > > ___ > Linux Mailing List - http://www.unixtech.be > Subscribe/Unsubscribe: http://www.unixtech.be/mailman/listinfo/linux > Archives: http://www.mail-archive.com/linux@lists.unixtech.be > IRC: efnet.skynet.be:6667 - #unixtech -- -> Jean-Francois Dive --> [EMAIL PROTECTED] There is no such thing as randomness. Only order of infinite complexity. - _The Holographic Universe_, Michael Talbot ___ Linux Mailing List - http://www.unixtech.be Subscribe/Unsubscribe: http://www.unixtech.be/mailman/listinfo/linux Archives: http://www.mail-archive.com/linux@lists.unixtech.be IRC: efnet.skynet.be:6667 - #unixtech
[linux] Rootkit detetor
J'ai eu une pett merde ce soir, Je viens de finir de retirer un beau ptt rootkit d'une de mes machine. Ma question est simple. J'ai presque du verifier les Hash MD5 de tous les fichiers via rpm. J'ai essaye un rootkit detector, http://www.chkrootkit.org/ . Il n'a rien trouvé, alors que plus de 5 fichiers important etait affecter ! /bin/init /bin/strings ... etc Qu'y a t'il comme autre alternative a chkrootkit. Aussi. Pour ceux qui ont une redhat. - Patcher ou enlever le support SSL - enlever le sticky bit de linuxconfig ... ( c'est comme cela qu'ils ont eu l'access root ) Dominique Gallot ___ Linux Mailing List - http://www.unixtech.be Subscribe/Unsubscribe: http://www.unixtech.be/mailman/listinfo/linux Archives: http://www.mail-archive.com/linux@lists.unixtech.be IRC: efnet.skynet.be:6667 - #unixtech
