RootForum Community

Resources for System-Administrators
https://www.rootforum.org/forum/

Root-Kit

https://www.rootforum.org/forum/viewtopic.php?t=12778

Page 1 of 3

Root-Kit

Posted: 2003-06-19 15:25
by frosty
hallo,

welche tool´s kennt ihr um sog. root-kits aufspüren zu können?

Re: Root-Kit

Posted: 2003-06-19 15:29
by adjustman
chkrootkit :)

Re: Root-Kit

Posted: 2003-06-19 15:31
by frosty
danke, hätt ich auch selbst drauf kommen können :D


gibts noch andere?

Re: Root-Kit

Posted: 2003-06-19 15:34
by captaincrunch
Ja, Vergleich der Speicherinhalte mit der /boot/System.map ... sprengt den Rahmen aber etwas ...

Re: Root-Kit

Posted: 2003-06-19 16:07
by dea
Diverse HIDSe bzw. deren FSI-Checker (prelude, tripwire, ...) können Dich insofern darin unterstützen (!) als das sie Dir aufzeigen können, welche Dateien sich wann wie geändert haben.
Allerdings sind die nicht unbedingt simpel und einfach aufzusetzen ...

Achso - gehört das nicht eher nach "Security" ? ;)

Re: Root-Kit

Posted: 2003-06-19 16:27
by dodolin
Bittesehr! :)

Re: Root-Kit

Posted: 2003-06-26 22:00
by ganjasmokerjoe
Tipp:
wenn chkrootkit ein alarm der folgenden art ausgibt:

Code: Select all

...
Searching for anomalies in shell history files... nothing found
Checking `asp'... not infected
Checking `bindshell'... INFECTED (PORTS:  1524 31337)
Checking `lkm'... nothing detected
...
das programm erkennt da nur was flasch, die ports 1524 31337 werden von portsentry benutzt, also fehlalarm 8)

Re: Root-Kit

Posted: 2003-06-26 22:04
by scythe42
ganjasmokerjoe wrote:das programm erkennt da nur was flasch, die ports 1524 31337 werden von portsentry benutzt, also fehlalarm 8)
Normal der prüft im Endeffekt nur ob auf bestimmten Ports, wo diverse Rootkits sitzen auch was läuft. IMHO ist chrootkit völlig ineffizient. Wenn du in die Newsgroups guckst, so sind die voll wg. Panik bei diesen Fehlalarmen.

Re: Root-Kit

Posted: 2003-06-26 22:08
by captaincrunch
Tipp:
wenn chkrootkit ein alarm der folgenden art ausgibt:
Wobei man

a) ohnehin (selbst) lernen sollte, die Ausgaben von diversen Tools zu verstehen, und
b) gewissen Sachen trotzdem auf den Grund gehen.

Einfaches Beispiel : ich als böser "Hacker" kenne die IP-Range der 1&1-Rootserver, von denen ich weiterhin weiß, dass viele davon nicht gerade "sicher" konfiguriert wurden. Weiter weiß ich von genau dieser Sache : 2 Ports sind durch eine gewisse Softwarekonstellation von Tools ohnehin als "offen" klassifiziert.
Was wäre einfacher, als meine Kommunikation, die du nicht mitbekommen sollst über genau die offenen Punkte, von denen dir gesagt wurde "Mach dir keine Sorgen, das ist schon OK so" abzuwickeln ?

Nur als kleiner Denkanstoss ...

Re: Root-Kit

Posted: 2003-07-15 15:59
by zero
Hallo Leute habe da ein Tooles Script für euch ;-)

Viel Spass damit ich hoffe es hilft euch:


./rootkid.sh
-> Als ROOT bitte ;-)

Code: Select all

 
#!/bin/bash

PATH=/bin:/sbin:/usr/bin:/usr/sbin

# Change into temporary directory.
cd /tmp/

# Download necessary files.
wget --passive-ftp ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz
wget --passive-ftp ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.md5

# Get md5sums of the file and the original one.
FILECH=$(cat chkrootkit.md5|cut -f 1)
FILE=$(md5sum chkrootkit.tar.gz|cut -f 1 -d ' ')


# Compare them.
if [ $FILE = $FILECH ]; then

  rm chkrootkit.md5
  tar -x -z -f chkrootkit.tar.gz
  rm chkrootkit.tar.gz
  cd chkrootkit-*
  make
  sleep 1
  ./chkrootkit | mail DEINEEMAIL@HOST.tld
  cd /tmp/
  rm -rf chkrootkit*

  exit 0

 else

  echo $FILE and $FILECH do not equate. | mail DEINEEMAIL@HOST.tld

fi

Re: Root-Kit

Posted: 2003-07-15 17:39
by tyberius prime
super. wenn ich's schaffe, dir ein gefälschtes Archiv unterzuschieben, kann ich dir wohl auch ne fake md5 übermitteln.
Dient der Check also nur um zu gucken, ob der Download korrekt war?

Re: Root-Kit

Posted: 2003-07-16 07:50
by zero
Er sollte für beides gelten. Eine bessere Idee.

Sorry wollte nur helfen.

Re: Root-Kit

Posted: 2003-07-16 09:30
by tyberius prime
hm... also um zu sehen ob der download geklapt hat ist's ja schon ganz brauchbar.

Das einzige, womit du dich 'einfach' vor untergeschobenen downloads schuetzen koennest, waere ein public key, mit dessen private gegenpart das archiv irgendwie signiert waere (oder die md5 signiert waere).
Der muesste natuerlich fest auf deienm server liegen, und duerfte nicht jedesmal von irgendwo gezogen werden...

Gruss,
TP

Re: Root-Kit

Posted: 2003-07-16 11:28
by zero
Jep möglichkeiten gibts immer ;-) Habe es nun so gelöst. Werde es noch mal ändern, im MOment jedoch klappt das Sctipt. Und wenn ich es von der Seite lade wirds gar nicht geprüft.

Re: Root-Kit

Posted: 2003-07-16 12:07
by chris76
CaptainCrunch wrote:
Weiter weiß ich von genau dieser Sache : 2 Ports sind durch eine gewisse Softwarekonstellation von Tools ohnehin als "offen" klassifiziert.
Um was für ein tool handel es sich bitte ?

Ciao Christian

Re: Root-Kit

Posted: 2003-07-17 11:15
by distanzcheck
gibts nen howtoo wie man das chrootkid instalieren muß ?

Dirk

Re: Root-Kit

Posted: 2003-07-17 11:22
by captaincrunch
Wenn du es unbeidngt ausprobieren möchtest, kannst du das kleine Script, das Zero gepostet hatte nehmen, das macht alles automatisch für dich.

Re: Root-Kit

Posted: 2003-07-17 11:23
by distanzcheck
oki danke

Dirk

Re: Root-Kit

Posted: 2003-07-17 11:30
by distanzcheck
und denn durchlaufen lasse ?

wie kann ich danach den rootkid ausführen ???

die mail vom install habe ich bekommen.

Dirk

Re: Root-Kit

Posted: 2003-07-17 14:30
by zero
?? Hast du mein Script benutzt dann solltest du eine Mail mit den Infos bekommen wenn du diese in meinem Script angepasst hast.

Re: Root-Kit

Posted: 2003-07-17 14:31
by distanzcheck
ja habe ich, muß ich des script denn immer starten um das zu prüfen ???

Dirk

Re: Root-Kit

Posted: 2003-07-17 16:33
by zero
Nun ja mein Script löscht Rootkid wieder vom System. ansonsten siehst du ja den Aufruf von dem Kid im Script.

Gruß Zero

Re: Root-Kit

Posted: 2003-12-02 12:06
by darki
@zero
ich hab ma dein script genommen....aber ich krieg den fehler hier:

Code: Select all

./xcvsd.sh: line 18: [: too many arguments
line 18 is ja:

Code: Select all

if [ $FILE = $FILECH ]; then

Bin ich zu doof für copy&paste? :roll:

Re: Root-Kit

Posted: 2003-12-03 01:19
by klausi01
Was sagen mir diese Meldungen ??
muss ich mir sorgen machen ??
Searching for anomalies in shell history files... Warning: `//root/.mysql_history' file size is zero
Sowie :
Checking `sniffer'... eth0 is not promisc eth0:1 is not promisc eth0:2 is not promisc eth0:3 is not promisc
Machen mich ein wenig stuzig...

Re: Root-Kit

Posted: 2003-12-03 02:22
by dodolin
@Klausi01: Du brauchst dir KEINE Sorgen zu machen. Erklären tut dir die Meldungen vielleicht jemand anders, der gerade mehr Zeit und Lust hat als ich zu später Stunde. ;)
All times are UTC+02:00
Page 1 of 3