Esegui -
- Annuncio Pubblicitario
Un rootkit per kernel Linux
2 messaggi
• Pagina 1 di 1
Un rootkit per kernel Linux
da sampei.nihira » lun feb 13, 2012 6:37 pm
Ultima modifica di farbix89 il lun feb 13, 2012 9:24 pm, modificato 2 volte in totale.
Motivazione: Modifica titolo e correzione link
Motivazione: Modifica titolo e correzione link
釣りキチ三平
-
sampei.nihira - Membro Ufficiale (Gold)
- Messaggi: 3527
- Iscritto il: dom ott 03, 2010 8:18 am
Re: Un rootkit per kernel Linux
da farbix89 » lun feb 13, 2012 9:39 pm
Il dibattito e gli eventuali test sono aperti ![[^]](http://www.megalab.it/forum/images/smilies/Oh-yea.gif "Approvazione")
Le mie prime impressioni su una macchina di testing (Ubuntu 10.04,kernel vecchio,utente standard)
controllando i log del kernel e del sistema si riesce a tracciare ogni minima modifica "sospetta".
è bastato un copia-incolla e qualche CANC per eliminare questo "bacarozzo" (eufenismo![[:D]](http://www.megalab.it/forum/images/smilies/fragorosa_risata.gif "Fragorosa risata")
),insomma è troppo elementare per funzionare su distribuzioni Home-based,dove root è ingabbiato e sudo è un surrogato poco efficace per le cose che vuole fare il malware.
però è da provare su ambienti rootati di default (come i server),e verificare in ambienti IT-based per vedere se la minaccia è anche solo ipotetica.
Ora attivo root e provo a fare tutto da lì
Le mie prime impressioni su una macchina di testing (Ubuntu 10.04,kernel vecchio,utente standard)
- in effetti nasconde file e cartelle di configurazione dell'utente,ma chiede per ogni cosa la password
- fa "sparire" dal task alcuni processi,ma non riesce a cancellarli (dopo due minuti tornano al loro posto)
- non riesce a effettuare il keystroke della tastiera..non accede al modulo forse per colpa del layout
- credo che manchi una completa escalation dei privilegi,perché root non viene nemmeno toccato ( si appoggia a sudo?
![[sh]](http://www.megalab.it/forum/images/smilies/shifty.gif "Shifty")
) - niente root,niente moduli del kernel modificati e caricati,ma soprattutto niente modulo nascosto
- Al riavvio è sparito tutto,non riesce a precaricarsi o a inserirsi da solo in autoavvio (strano non è necessario alcun permesso)
controllando i log del kernel e del sistema si riesce a tracciare ogni minima modifica "sospetta".
è bastato un copia-incolla e qualche CANC per eliminare questo "bacarozzo" (eufenismo
),insomma è troppo elementare per funzionare su distribuzioni Home-based,dove root è ingabbiato e sudo è un surrogato poco efficace per le cose che vuole fare il malware.però è da provare su ambienti rootati di default (come i server),e verificare in ambienti IT-based per vedere se la minaccia è anche solo ipotetica.
Ora attivo root e provo a fare tutto da lì
-
farbix89 - Membro Ufficiale (Gold)
- Messaggi: 14093
- Iscritto il: ven feb 13, 2009 10:09 pm
2 messaggi
• Pagina 1 di 1
Chi c’è in linea
Visitano il forum: Nessuno e 6 ospiti
megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2008 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising