mi disconnetto....

[Max72]

Anzi..gia' e' strano che gli abbia eliminato le backdoors sviluppate tramite il trojan...di solito a questo punto trovarle o non trovarle serve anche a poco e non si puo' rimuoverle, e se viene comunicata la rimozione, ad una scansione successiva il trojan si riavvia da regkey(ipotesi)....a meno che non sia stata infettata da un trojan vecchiotto...

[ago]

99,9% si, ma dato che un bel po' di roba l'ha levata

Se sono stati installati rootkits non si possono ne' scovare ne' disinstallare, una volta dentro non c'e' antivirus o firewall che regga. Ed oggi qualsiasi ragazzino che voglia divertirsi a fare il cracker sa benissimo cosa siano i rootkits e come usarli. La logica e': se trovi il malaware sono entrati anche i crackers (bravi o meno). Se ci sono i backdors, significa che sono entrati i crackers piu' scarsi (quelli che lasciano le tracce). Se sono entrati i crackers scarsi sono entrati anche quelli piu' esperti (che NON lasciano tracce). In ogni caso (salvo metter su intrusion detection) non c'e' speranza di capire con firewall ed antivirus se sono entrati i crackers esperti, salvo monitorare il traffico ethernet su gateway esterna... Ne' c'e' speranza alcuna di rimuovere i rootikits. Eliminare trojans e backdors e' del tutto inutile. E' come chiudere la porta una volta che hanno scavato un tunnel sotto il tappeto.

L'ho detto e lo ripeto un pc con malaware va riformattato, antivirus e firewall servono solo ex-ante, come prevenzione, ma sono del tutto inutili ex-post.

[Max72]

Beh, ma con un portscan esterno come hai scritto anche tu(non da locale ovviamente dato che la prima cosa che fa' il rootkit e' proprio occultare il netstat), si puo' verificare che le porte siano aperte o chiuse in stealth o meno.
Questo viene da un esperimento che abbiamo effettuato al corso di sicurezza di 2 setttimane fa':

3 macchine infette, 2 senza rotkit ed una con rootkit.

Quelle senza rootkit, una volta ripulite(con litri di sudore, dato che i win32-gen gia' di per se' sono da format per tranquillita' assoluta), da portscan esterno, non presentavano piu' nessuna porta aperta, viceversa la macchina con rootkit, presentava ai portscan le tcp spalancate(in analisi locale ovviamente i processi risultavano chiusi).

Un software appena decente anti-intrusione(restando sul free, altrimenti sono soldi che fioccano) e' risultato "unackme"(se ricordo bene il nome) completamente stand-alone(versione non facile da reperire, dato che la installabile presenta variabili non buone, dato che si apppoggia al registro stesso), viceversa, altro software preso in considerazione(bootkitqualcosa, non ho sottomano gli appunti), non registrava il minimo processo di sniffer, ne di caduta di server....

Quel che mi ha dato un barlume di speranza, e' la classica "hijackin-detection/application" del firewall, installato secondariamente(sygate) a macchina infetta da rootkit:

Il firewall, emette il messaggio di allerta e permette di stoppare la comunicazione, ma viene comunque aggirato, in successivo portscan, le porte risultavano nuovamente aperte.

Per ora, sono arrivato fin qui nel detectare nel possibile un rootkit...confermi?
(altrimenti faccio il culo ai professori)

[Max72]

root@1[max]# chkrootkit
ROOTDIR is `/'
Checking `amd'... not found
Checking `basename'... not infected
Checking `biff'... not found
Checking `chfn'... not infected
Checking `chsh'... not infected
Checking `cron'... not infected
Checking `date'... not infected
Checking `du'... not infected
Checking `dirname'... not infected
Checking `echo'... not infected
Checking `egrep'... not infected
Checking `env'... not infected
Checking `find'... not infected
Checking `fingerd'... not infected
Checking `gpm'... not found
Checking `grep'... not infected
Checking `hdparm'... not infected
Checking `su'... not infected
Checking `ifconfig'... not infected
Checking `inetd'... not infected
Checking `inetdconf'... not infected
Checking `identd'... not found
Checking `init'... not infected
Checking `killall'... not infected
Checking `ldsopreload'... not infected
Checking `login'... not infected
Checking `ls'... not infected
Checking `lsof'... not infected
Checking `mail'... not found
Checking `mingetty'... not found
Checking `netstat'... not infected
Checking `named'... not found
Checking `passwd'... not infected
Checking `pidof'... not infected
Checking `pop2'... not found
Checking `pop3'... not found
Checking `ps'... not infected
Checking `pstree'... not infected
Checking `rpcinfo'... not infected
Checking `rlogind'... not found
Checking `rshd'... not found
Checking `slogin'... not infected
Checking `sendmail'... not infected
Checking `sshd'... not found
Checking `syslogd'... not infected
Checking `tar'... not infected
Checking `tcpd'... not infected
Checking `tcpdump'... not infected
Checking `top'... not infected
Checking `telnetd'... not found
Checking `timed'... not found
Checking `traceroute'... not infected
Checking `vdir'... not infected
Checking `w'... not infected
Checking `write'... not infected
Checking `aliens'... no suspect files
Searching for sniffer's logs, it may take a while... nothing found
Searching for HiDrootkit's default dir... nothing found
Searching for t0rn's default files and dirs... nothing found
Searching for t0rn's v8 defaults... nothing found
Searching for Lion Worm default files and dirs... nothing found
Searching for RSHA's default files and dir... nothing found
Searching for RH-Sharpe's default files... nothing found
Searching for Ambient's rootkit (ark) default files and dirs... nothing found
Searching for suspicious files and dirs, it may take a while...
/usr/lib/j2se/1.4/jre/.systemPrefs
/usr/lib/j2se/1.4/jre/.systemPrefs/.systemRootModFile
/usr/lib/j2se/1.4/jre/.systemPrefs/.system.lock
/usr/lib/mindi/rootfs/proc/.keep
/usr/lib/mindi/rootfs/root/.profile
/usr/lib/j2se/1.4/jre/.systemPrefs
Searching for LPD Worm files and dirs... nothing found
Searching for Ramen Worm files and dirs... nothing found
Searching for Maniac files and dirs... nothing found
Searching for RK17 files and dirs... nothing found
Searching for Ducoci rootkit... nothing found
Searching for Adore Worm... nothing found
Searching for ShitC Worm... nothing found
Searching for Omega Worm... nothing found
Searching for Sadmind/IIS Worm... nothing found
Searching for MonKit... nothing found
Searching for Showtee... nothing found
Searching for OpticKit... nothing found
Searching for T.R.K... nothing found
Searching for Mithra... nothing found
Searching for LOC rootkit... nothing found
Searching for Romanian rootkit... nothing found
Searching for Suckit rootkit... nothing found
Searching for Volc rootkit... nothing found
Searching for Gold2 rootkit... nothing found
Searching for TC2 Worm default files and dirs... nothing found
Searching for Anonoying rootkit default files and dirs... nothing found
Searching for ZK rootkit default files and dirs... nothing found
Searching for ShKit rootkit default files and dirs... nothing found
Searching for AjaKit rootkit default files and dirs... nothing found
Searching for zaRwT rootkit default files and dirs... nothing found
Searching for Madalin rootkit default files... nothing found
Searching for Fu rootkit default files... nothing found
Searching for ESRK rootkit default files... nothing found
Searching for rootedoor... nothing found
Searching for anomalies in shell history files... nothing found
Checking `asp'... not infected
Checking `bindshell'... not infected
Checking `lkm'... chkproc: nothing detected
Checking `rexedcs'... not found
Checking `sniffer'... lo: not promisc and no packet sniffer sockets
ppp0: not promisc and no packet sniffer sockets
Checking `w55808'... not infected
Checking `wted'... unable to open wtmp-file wtmp
Checking `scalper'... not infected
Checking `slapper'... not infected
Checking `z2'... not tested: not found wtmp and/or lastlog file


Fare una cosa cosi' su win, proprio no e'? ...almeno per iniziare...

[ago]

Ci sono due tipi di rootkits, userspace e kernel. I primi modificano i progammi tipo ps, gli altri modificano direttamente il kernel. Il secondo tipo di rootkit non e' identificabile poiche' i programmi che dovrebbero scovarli utilizzano il kernel corrotto, sono "un livello sopra" il programma da scovare, ed invece dovrebbero essere un livello sotto.

Inoltre anche monitorando una gateway non e' detto che sia facile scovare i rootkits, io potrei ad esempio mischiare la comunicazione con il controller a comunicazioni normali. Ad esempio quando invii richieste http o emails aggiungo alcuni random bits che poi vengono collezionati... Ma questa e' roba da NSA...

[Max72]

Esperimenti condotti sulle macchine infette solo su userspace con software anti-intrusione....ok sui kernel, anche se gli insegnanti denotavano sui sistemi windows, un comportamento identificabile in crash continui delle applicazioni(cosa che non e' che succeda esattamente di rado anche in sistemi non infetti, ma su sistemi puliti e personalizzati, aumentavano del 300% di botto) e successivamente del sistema stesso, data la proverbiale complessita' di windows(cosa che viceversa originariamente su *NIX non avveniva), che si incasina gia' di suo(te la vendo come me l'hanno venduta, solo teoria, li di pratica non ne abbiamo fatta purtroppo, se non un rootkit elementare compilato in C(impedire la lettura netstat di /proc/net/tcp insomma, una cazzatina) solo per provare la detection).

Nei portscan(non i programmini sfigati di windows che si trovano in rete ovviamente)comunque, si vedeva anche una compromissione sulla 80 analizzando i grafici della banda in scan....gonfiati del 30% rispetto a macchina pulita, qui abbiamo testato una differenza browser elementare tra I.E e Firefox.

I.E come al solito, proseguiva imperterrito a chiudersi un paio di volte e poi a proseguire come se niente fosse, viceversa Firefox, presentavi continui crash e Firefox che crasha di continuo gia' e' un sintomo di allarme non indifferente.

[ago]

ok sui kernel, anche se gli insegnanti denotavano sui sistemi windows, un comportamento identificabile in crash continui delle applicazioni

Questo dipende probabilmente dal rootkit utilizzato che non era abbastanza sofisticato... C'e' da dire che i kernel rootkits sono piuttosto recenti.

[lauraf]

ehm...una traduzione?

[Max72]

ehm...una traduzione?

Non star li a diventare matta, salva il salvabile e formatta tutto.

[ago]

ehm...una traduzione?

http://www.politicaonline.net/forum/...64&postcount=3