Root-Kit

[frosty]

hallo,

welche tool´s kennt ihr um sog. root-kits aufspüren zu können?

[adjustman]

chkrootkit :)

[frosty]

danke, hätt ich auch selbst drauf kommen können :D


gibts noch andere?

[captaincrunch]

Ja, Vergleich der Speicherinhalte mit der /boot/System.map ... sprengt den Rahmen aber etwas ...

[dea]

Diverse HIDSe bzw. deren FSI-Checker (prelude, tripwire, ...) können Dich insofern darin unterstützen (!) als das sie Dir aufzeigen können, welche Dateien sich wann wie geändert haben.
Allerdings sind die nicht unbedingt simpel und einfach aufzusetzen ...

Achso - gehört das nicht eher nach "Security" ? ;)

[dodolin]

Bittesehr! :)

[ganjasmokerjoe]

Tipp:
wenn chkrootkit ein alarm der folgenden art ausgibt:

Code: Select all

...
Searching for anomalies in shell history files... nothing found
Checking `asp'... not infected
Checking `bindshell'... INFECTED (PORTS:  1524 31337)
Checking `lkm'... nothing detected
...

das programm erkennt da nur was flasch, die ports 1524 31337 werden von portsentry benutzt, also fehlalarm 8)

[scythe42]

das programm erkennt da nur was flasch, die ports 1524 31337 werden von portsentry benutzt, also fehlalarm 8)

Normal der prüft im Endeffekt nur ob auf bestimmten Ports, wo diverse Rootkits sitzen auch was läuft. IMHO ist chrootkit völlig ineffizient. Wenn du in die Newsgroups guckst, so sind die voll wg. Panik bei diesen Fehlalarmen.

[captaincrunch]

Tipp:
wenn chkrootkit ein alarm der folgenden art ausgibt:

Wobei man

a) ohnehin (selbst) lernen sollte, die Ausgaben von diversen Tools zu verstehen, und
b) gewissen Sachen trotzdem auf den Grund gehen.

Einfaches Beispiel : ich als böser "Hacker" kenne die IP-Range der 1&1-Rootserver, von denen ich weiterhin weiß, dass viele davon nicht gerade "sicher" konfiguriert wurden. Weiter weiß ich von genau dieser Sache : 2 Ports sind durch eine gewisse Softwarekonstellation von Tools ohnehin als "offen" klassifiziert.
Was wäre einfacher, als meine Kommunikation, die du nicht mitbekommen sollst über genau die offenen Punkte, von denen dir gesagt wurde "Mach dir keine Sorgen, das ist schon OK so" abzuwickeln ?

Nur als kleiner Denkanstoss ...

[zero]

Hallo Leute habe da ein Tooles Script für euch ;-)

Viel Spass damit ich hoffe es hilft euch:


./rootkid.sh
-> Als ROOT bitte ;-)

Code: Select all

 
#!/bin/bash

PATH=/bin:/sbin:/usr/bin:/usr/sbin

# Change into temporary directory.
cd /tmp/

# Download necessary files.
wget --passive-ftp ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz
wget --passive-ftp ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.md5

# Get md5sums of the file and the original one.
FILECH=$(cat chkrootkit.md5|cut -f 1)
FILE=$(md5sum chkrootkit.tar.gz|cut -f 1 -d ' ')


# Compare them.
if [ $FILE = $FILECH ]; then

  rm chkrootkit.md5
  tar -x -z -f chkrootkit.tar.gz
  rm chkrootkit.tar.gz
  cd chkrootkit-*
  make
  sleep 1
  ./chkrootkit | mail DEINEEMAIL@HOST.tld
  cd /tmp/
  rm -rf chkrootkit*

  exit 0

 else

  echo $FILE and $FILECH do not equate. | mail DEINEEMAIL@HOST.tld

fi

[tyberius prime]

super. wenn ich's schaffe, dir ein gefälschtes Archiv unterzuschieben, kann ich dir wohl auch ne fake md5 übermitteln.
Dient der Check also nur um zu gucken, ob der Download korrekt war?

[zero]

Er sollte für beides gelten. Eine bessere Idee.

Sorry wollte nur helfen.

[tyberius prime]

hm... also um zu sehen ob der download geklapt hat ist's ja schon ganz brauchbar.

Das einzige, womit du dich 'einfach' vor untergeschobenen downloads schuetzen koennest, waere ein public key, mit dessen private gegenpart das archiv irgendwie signiert waere (oder die md5 signiert waere).
Der muesste natuerlich fest auf deienm server liegen, und duerfte nicht jedesmal von irgendwo gezogen werden...

Gruss,
TP

[zero]

Jep möglichkeiten gibts immer ;-) Habe es nun so gelöst. Werde es noch mal ändern, im MOment jedoch klappt das Sctipt. Und wenn ich es von der Seite lade wirds gar nicht geprüft.

[chris76]

Weiter weiß ich von genau dieser Sache : 2 Ports sind durch eine gewisse Softwarekonstellation von Tools ohnehin als "offen" klassifiziert.

Um was für ein tool handel es sich bitte ?

Ciao Christian

[distanzcheck]

gibts nen howtoo wie man das chrootkid instalieren muß ?

Dirk

[captaincrunch]

Wenn du es unbeidngt ausprobieren möchtest, kannst du das kleine Script, das Zero gepostet hatte nehmen, das macht alles automatisch für dich.

[distanzcheck]

oki danke

Dirk

[distanzcheck]

und denn durchlaufen lasse ?

wie kann ich danach den rootkid ausführen ???

die mail vom install habe ich bekommen.

Dirk

[zero]

?? Hast du mein Script benutzt dann solltest du eine Mail mit den Infos bekommen wenn du diese in meinem Script angepasst hast.

[distanzcheck]

ja habe ich, muß ich des script denn immer starten um das zu prüfen ???

Dirk

[zero]

Nun ja mein Script löscht Rootkid wieder vom System. ansonsten siehst du ja den Aufruf von dem Kid im Script.

Gruß Zero

[darki]

@zero
ich hab ma dein script genommen....aber ich krieg den fehler hier:

Code: Select all

./xcvsd.sh: line 18: [: too many arguments

line 18 is ja:

Code: Select all

if [ $FILE = $FILECH ]; then

Bin ich zu doof für copy&paste? :roll:

[klausi01]

Was sagen mir diese Meldungen ??
muss ich mir sorgen machen ??

Searching for anomalies in shell history files... Warning: `//root/.mysql_history' file size is zero

Sowie :

Checking `sniffer'... eth0 is not promisc eth0:1 is not promisc eth0:2 is not promisc eth0:3 is not promisc

Machen mich ein wenig stuzig...

[dodolin]

@Klausi01: Du brauchst dir KEINE Sorgen zu machen. Erklären tut dir die Meldungen vielleicht jemand anders, der gerade mehr Zeit und Lust hat als ich zu später Stunde. ;)