Rootkits

Iniciado por VB5, 22 de Maio de 2008, 23:07

tópico anterior - próximo tópico

VB5

Pois é... todos sabemos que o Linux é muito mais seguro que o W$, mas também que nada é imbatível. Em conversa com um colega que usa Linux há mais de dez anos, ele alertou-me sobre os 'rootkits', uma forma de "virus" extremamente difícil de detectar e que em princípio pode atacar inclusive o Linux. Como em nossa rede o número de máquinas Ubuntu está crescendo visivelmente ( :D :D até que enfim!...), resolvi testar o RKHUNTER. Instalei a versão 1.3.0 -1 pelo Synaptics, testei e rodou perfeito - o exame é mesmo minucioso! Obtive apenas dois avisos:

Citar
[19:00:11]   Checking for enabled inetd services             [ Warning ]
[19:00:11] Warning: Found enabled inetd service: swat

e

Citar
[19:01:33]   Checking for hidden files and directories       [ Warning ]
[19:01:34] Warning: Hidden directory found: /etc/.java
[19:01:34] Warning: Hidden directory found: /dev/.static
[19:01:34] Warning: Hidden directory found: /dev/.udev
[19:01:34] Warning: Hidden directory found: /dev/.initramfs
[19:01:34] Warning: Hidden file found: /etc/.fstab.swp: Vim swap file, version 7.0
[19:01:34] Warning: Hidden file found: /dev/.tmp-2-0: block special (2/0)
[19:02:00]

O primeiro, tudo bem; refere-se apenas ao Swat habilitado. O segundo parece estar ligado a uma atualização do Java feita logo após a atualização do sistema para o 7.10, já que diretórios e arquivos datam de novembro de 2007.

Bem, minhas dúvidas são:

a) Poderia desabiltar ou remover o Swat, já que nem lembro porque o instalei e nunca usei?...  ;D
b) Os diretórios/ arquivos listados no segundo caso podem ser removidos com segurança? Algumas das pastas têm mais de 600 arquivos, e nunca foram atualizadas desde então.

( ),

VB5

Ubuntu 10.04 - Semprom 2600+/Asus K8N/1.5 GB RAM DDR 400/GeForce 6200/HDs: 80MB + 320 GB

raidicar

companheiro, não posso esclarecer 100% suas duvidas, mas, por experiência, vou lhe dizer o que me ocorreu e quem sabe impeça vc de comenter os mesmos erros.

também usei o rkhunter e esse foi o resultado:

[13:44:38] Performing filesystem checks
[13:44:38] Info: Starting test name 'filesystem'
[13:44:38] Info: SCAN_MODE_DEV set to 'THOROUGH'
[13:44:45]   Checking /dev for suspicious file types         [ Warning ]
[13:44:46] Warning: Suspicious files found in /dev:
[13:44:46]          /dev/shm/pulse-shm-2977890910: data
[13:44:46]          /dev/shm/pulse-shm-3015595474: data
[13:44:46]   Checking for hidden files and directories       [ Warning ]
[13:44:46] Warning: Hidden directory found: /dev/.static
[13:44:46] Warning: Hidden directory found: /dev/.udev
[13:44:46] Warning: Hidden directory found: /dev/.initramfs

Ainda tenho o log guardado, isso já tem um tempo, foi logo após a instalação do ubuntu 8.04, a instalação foi feita do zero, não foi uma atualização.

Eu fiz a caca de mover esses 3 diretórios para outro local, só para testar e devido aos erros que geraram, alguns surpreendentes, tive de devolve-los, então, de forma alguma o diria para removelos. Esses 3 diretórios não se tratam de alguma atualização, pois estão lá desde a instalação.

Agora vc teve problemas que eu não tive, mas eu não tinha o java, então o instalei, testei sites que usam java, bradesco, itau... e rodei o Rkhunter e tive a mesma msg:
Warning: Hidden directory found: /etc/.java
removi essa pasta de /etc para outro local e o java deu uns paus, estranho por que a hora de modificação não muda, eles estão sempre intactos, como se nada os utilizasse, mas eu tirei eles de la e pronto, começou a ocorrer instabilidade, meu banco on line não carregava mais o teclado virtual, etc...

Já o swat, eu já o desabilitei e quando utilizava a versão 7.10 e não tive problemas.
Resumindo, a resposta da pergunta (A) eu diria sim, não tive problema no passado, para a pergunta (B) eu diria não, ja removi e dancei.

Como eu disse, não ajudei muito, não posso precisar 100% ao que cada diretório esta vinculado, só posso lhe dizer cautela ao decidir o que fazer e que sua suspeita com relação ao diretório .java não esta 100% correta, não sei como lhe explicar a data dos seus arquivos e nem sei se vc atualizou o java nessa dia, mas a pasta .java foi criado após a instalação da ultima versão, aqui no 8.04, e não após a atualização de sistema, pois como disse, meu sistema não foi atualizado e eu passei a ter essa pasta após instalar o java.
Quem ama extremamente, deixa de viver em si e vive no que ama. Na vida três coisas são certas, o amor, a morte e o Linux !
Se Platão disse, então realmente sofremos de uma perigosa doença mental.

Tota

Lembrem que as distros variam na organização dos diretórios.

Num Linux "xiita" o ponto de montagem de dispositivos de armazenamento é /mnt e no Ubuntu é /media.

Portanto eu aconselho a antes de fazer alguma alteração, verificar na net o que se pretende fazer, por ex. o /udev que foi agregado ao sistema quando se desenvolveu o conceito de plug and play.

hoje em dia, feliz ou infelizmente, é google para tudo. O óráculo tem tudo, ou quase.

Finalmente, se eu escresse um rootkit eu o colocaria na pasta raiz / pois como eu conheço as variações das distros isto me permitiria um melhor "desempenho" do meu invasor.

Normalmente um rootkit visa a captura de senhas para acesso ao sistema, logo fazer shadow ou criptografar senhas é uma boa prática se voce roda um sistema crítico. Num desktop "comum" e isolado, fora de um ambiente corporativo, fica facil desconfiar de um rootkit, tipo receber e-mails informando mensagens não enviadas, maquina lenta, acesso à rede demorado.

[],s

VB5

raidicar e Tota,

muito obrigado pelas resposta, mataram todas!... de fato testei outras máquinas e encontrei esses mesmos três arquivos no mesmo lugar; é tipo um "falso positivo"do Rkhunter, ao que parece ( se bem que ele indica apenas como "warning", não erro). Melhor deixá-los quietos lá... vou só dar um jeito no Swat, então.

Citar
Normalmente um rootkit visa a captura de senhas para acesso ao sistema, logo fazer shadow ou criptografar senhas é uma boa prática se voce roda um sistema crítico. Num desktop "comum" e isolado, fora de um ambiente corporativo, fica facil desconfiar de um rootkit, tipo receber e-mails informando mensagens não enviadas, maquina lenta, acesso à rede demorado.

Com certeza... não experimentei qualquer problema, em casa ou no trabalho, mas estou me adiantando porque sei que lá no trabalho é bem possível que aconteça. Sabe como é, "idiotas são muito criativos..."... depois de usuários usando como senha o próprio nome da pasta, acredito em tudo! 

Valeu, pessoal!...  :D

( ),
VB5

Ubuntu 10.04 - Semprom 2600+/Asus K8N/1.5 GB RAM DDR 400/GeForce 6200/HDs: 80MB + 320 GB