Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Ogłoszenie
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
#1 2012-01-29 17:24:23
sir_lucjan - 
Kierowca Bombowca
- sir_lucjan
- Kierowca Bombowca
- Skąd: /home/sir_lucjan
- Zarejestrowany: 2010-05-20
- Serwis
Rookt - jak usunąć?
Internet dziś u mnie świruje niesamowicie, apt i komunikatory "łączą" z dużym opóźnieniem (choć speedtest pokazuje, że niby jest OK). . Znajomy doradził skanowanie:
http://wklej.org/id/678102/
Może mieć to jakiś związek?
Dell Inspiron 15-3542 (3542-2538) || Linux Register User: #536661
Arch Linux
Offline
#2 2012-01-29 17:38:24
yantar - Użytkownik
- yantar
- Użytkownik
- Skąd: Galicja
- Zarejestrowany: 2009-06-09
Re: Rookt - jak usunąć?
Zajrzyj do loga skanowania/var/log/rkhunter.log, pewnie coś związanego z hdparm. Z tego co piszą to jakiś bug w bazie rkhuntera tej wersji. U mnie jest to samo.
Ostatnio edytowany przez yantar (2012-01-29 17:39:57)
Offline
#3 2012-01-29 17:40:52
sir_lucjan - Kierowca Bombowca
- sir_lucjan
- Kierowca Bombowca
- Skąd: /home/sir_lucjan
- Zarejestrowany: 2010-05-20
- Serwis
Re: Rookt - jak usunąć?
Net dziś rozłącza się i włącza -> to neostrada, tak więc zapewne, podobnie jak rok temu, przymarzają im kable.....
BTW - odinstalowałem hdparm i dalej pokazuje tego rookita.
Ostatnio edytowany przez sir_lucjan (2012-01-29 17:41:35)
Dell Inspiron 15-3542 (3542-2538) || Linux Register User: #536661
Arch Linux
Offline
#4 2012-01-29 17:42:07
Jacekalex - Podobno człowiek...;)
- Jacekalex
- Podobno człowiek...;)
- Skąd: /dev/random
- Zarejestrowany: 2008-01-07
Re: Rookt - jak usunąć?
W logu /var/log/rkhunter.log masz dokładną informację, gdzie i co znalazł.
Przy czym ten komunikat nie oznacza wcale znalezienia rootkita, oznacza jedynie - że rkhunter znalazł coś, co mu rootkita o tej nazwie przypomina.
U mnie kiedyś znalazł groźnego rootkita w pliku startowym w /etc/init.d,co wiązało się z jego błędem, a nie rzeczywistym zagrożeniem.
To generalnie dość głupie narzędzie, dobrze go skonfrontować z wynikiem chkrootkita.
A jak chcesz dokładny raport o tym, co i kiedy się zmieniło ważnych plikach, to zainteresuj się programem AIDE.
Sznurek: http://www.gentoo.org/doc/pl/security/security-hand … 1&chap=13
Pozdro
;-)
W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem para bellum ;) | Pozdrawiam :)
Offline
#5 2012-01-29 17:51:15
sir_lucjan - Kierowca Bombowca
- sir_lucjan
- Kierowca Bombowca
- Skąd: /home/sir_lucjan
- Zarejestrowany: 2010-05-20
- Serwis
Re: Rookt - jak usunąć?
Kod:
# chkrootkit ROOTDIR is `/' Checking `amd'... not found Checking `basename'... not infected Checking `biff'... not found Checking `chfn'... not infected Checking `chsh'... not infected Checking `cron'... not found Checking `crontab'... not found Checking `date'... not infected Checking `du'... not infected Checking `dirname'... not infected Checking `echo'... not infected Checking `egrep'... not infected Checking `env'... not infected Checking `find'... not infected Checking `fingerd'... not found Checking `gpm'... not found Checking `grep'... not infected Checking `hdparm'... not found Checking `su'... not infected Checking `ifconfig'... not infected Checking `inetd'... not infected Checking `inetdconf'... not found Checking `identd'... not found Checking `init'... not infected Checking `killall'... not infected Checking `ldsopreload'... not infected Checking `login'... not infected Checking `ls'... not infected Checking `lsof'... not found Checking `mail'... not found Checking `mingetty'... not found Checking `netstat'... not infected Checking `named'... not found Checking `passwd'... not infected Checking `pidof'... not infected Checking `pop2'... not found Checking `pop3'... not found Checking `ps'... not infected Checking `pstree'... not infected Checking `rpcinfo'... not infected Checking `rlogind'... not found Checking `rshd'... not found Checking `slogin'... not infected Checking `sendmail'... not found Checking `sshd'... not found Checking `syslogd'... not tested Checking `tar'... not infected Checking `tcpd'... not infected Checking `tcpdump'... not infected Checking `top'... not infected Checking `telnetd'... not found Checking `timed'... not found Checking `traceroute'... not infected Checking `vdir'... not infected Checking `w'... not infected Checking `write'... not found not found Checking `aliens'... no suspect files Searching for sniffer's logs, it may take a while... nothing found Searching for rootkit HiDrootkit's default files... nothing found Searching for rootkit t0rn's default files... nothing found Searching for t0rn's v8 defaults... nothing found Searching for rootkit Lion's default files... nothing found Searching for rootkit RSHA's default files... nothing found Searching for rootkit RH-Sharpe's default files... nothing found Searching for Ambient's rootkit (ark) default files and dirs... nothing found Searching for suspicious files and dirs, it may take a while... The following suspicious files and directories were found: /usr/lib/libreoffice/basis3.4/program/.services.rdb /usr/lib/icedove/.autoreg /usr/lib/iceweasel/.autoreg /usr/lib/pymodules/python2.7/.path Searching for LPD Worm files and dirs... nothing found Searching for Ramen Worm files and dirs... nothing found Searching for Maniac files and dirs... nothing found Searching for RK17 files and dirs... nothing found Searching for Ducoci rootkit... nothing found Searching for Adore Worm... nothing found Searching for ShitC Worm... nothing found Searching for Omega Worm... nothing found Searching for Sadmind/IIS Worm... nothing found Searching for MonKit... nothing found Searching for Showtee... nothing found Searching for OpticKit... nothing found Searching for T.R.K... nothing found Searching for Mithra... nothing found Searching for LOC rootkit... nothing found Searching for Romanian rootkit... nothing found Searching for Suckit rootkit... nothing found Searching for Volc rootkit... nothing found Searching for Gold2 rootkit... nothing found Searching for TC2 Worm default files and dirs... nothing found Searching for Anonoying rootkit default files and dirs... nothing found Searching for ZK rootkit default files and dirs... nothing found Searching for ShKit rootkit default files and dirs... nothing found Searching for AjaKit rootkit default files and dirs... nothing found Searching for zaRwT rootkit default files and dirs... nothing found Searching for Madalin rootkit default files... nothing found Searching for Fu rootkit default files... nothing found Searching for ESRK rootkit default files... nothing found Searching for rootedoor... nothing found Searching for ENYELKM rootkit default files... nothing found Searching for common ssh-scanners default files... nothing found Searching for suspect PHP files... nothing found Searching for anomalies in shell history files... nothing found Checking `asp'... not infected Checking `bindshell'... not infected Checking `lkm'... chkproc: nothing detected chkdirs: nothing detected Checking `rexedcs'... not found Checking `sniffer'... lo: not promisc and no packet sniffer sockets eth1: PACKET SNIFFER(/sbin/dhclient[1762]) Checking `w55808'... not infected Checking `wted'... chkwtmp: nothing deleted Checking `scalper'... not infected Checking `slapper'... not infected Checking `z2'... user root deleted or never logged from lastlog! Checking `chkutmp'... The tty of the following user process(es) were not found in /var/run/utmp ! ! RUID PID TTY CMD ! root 1847 tty7 /usr/bin/X :0 -auth /var/run/lightdm/root/:0 -nolisten tcp vt7 -novtswitch chkutmp: nothing deleted Checking `OSX_RSPLUG'... not infected
Chyba niczego nie znalazło?
Ostatnio edytowany przez sir_lucjan (2012-01-29 17:51:42)
Dell Inspiron 15-3542 (3542-2538) || Linux Register User: #536661
Arch Linux
Offline
#6 2012-01-29 17:54:49
Jacekalex - Podobno człowiek...;)
- Jacekalex
- Podobno człowiek...;)
- Skąd: /dev/random
- Zarejestrowany: 2008-01-07
Re: Rookt - jak usunąć?
A co takiego strasznego pisze w /var/log/rkhunter.log, że boisz się do niego zajrzeć, wrzuć na dugowego wkleja, obaczym.
Albo poszukaj kawałka o tym rootkicie, i daj na forum.
W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem para bellum ;) | Pozdrawiam :)
Offline
#7 2012-01-29 17:55:07
Qmaty - Użytkownik
- Qmaty
- Użytkownik
- Skąd: Poznań
- Zarejestrowany: 2009-04-16
Re: Rookt - jak usunąć?
sir_lucjan napisał(-a):
Internet dziś u mnie świruje niesamowicie, apt i komunikatory "łączą" z dużym opóźnieniem (choć speedtest pokazuje, że niby jest OK). . Znajomy doradził skanowanie:
http://wklej.org/id/678102/
Może mieć to jakiś związek?
Te programy są beznadziejne i jeśli miałbyś rootkit-a to na pewno bo go nie znalazły. To prawdopodobnie fałszywy alarm. U mnie hdparm powoduje "znalezienie" tego (dokładnie tego samego) rootkit-a.
sir_lucjan napisał(-a):
IBTW - odinstalowałem hdparm i dalej pokazuje tego rookita.
Z opcją purge? bo błąd zwracają pliki konfiguracyjne.
Ostatnio edytowany przez Qmaty (2012-01-29 17:56:54)
Offline
#8 2012-01-29 18:00:10
marcin'82 - Użytkownik
- marcin'82
- Użytkownik
- Zarejestrowany: 2011-10-02
Re: Rookt - jak usunąć?
@Qmaty
Dlaczego są beznadziejne? Czy skanowanie systemu pod względem kontroli praw dostępu nie może wykryć anomalii? ....
Offline
#9 2012-01-29 18:00:53
sir_lucjan - Kierowca Bombowca
- sir_lucjan
- Kierowca Bombowca
- Skąd: /home/sir_lucjan
- Zarejestrowany: 2010-05-20
- Serwis
Re: Rookt - jak usunąć?
Nie mieści się we wiadomości, to daję w ten sposób:
http://wklej.org/id/678149/
Po prostu szukam odpowiedzi na pytanie, czemu apt i kominukatory mają takie lagi.
Kod:
rkhunter --check
[ Rootkit Hunter version 1.3.8 ]
Checking system commands...
Performing 'strings' command checks
Checking 'strings' command [ OK ]
Performing 'shared libraries' checks
Checking for preloading variables [ None found ]
Checking for preloaded libraries [ None found ]
Checking LD_LIBRARY_PATH variable [ Not found ]
Performing file properties checks
Checking for prerequisites [ OK ]
/usr/sbin/adduser [ OK ]
/usr/sbin/chroot [ OK ]
/usr/sbin/groupadd [ OK ]
/usr/sbin/groupdel [ OK ]
/usr/sbin/groupmod [ OK ]
/usr/sbin/grpck [ OK ]
/usr/sbin/nologin [ OK ]
/usr/sbin/pwck [ OK ]
/usr/sbin/tcpd [ OK ]
/usr/sbin/useradd [ OK ]
/usr/sbin/userdel [ OK ]
/usr/sbin/usermod [ OK ]
/usr/sbin/vipw [ OK ]
/usr/bin/awk [ OK ]
/usr/bin/basename [ OK ]
/usr/bin/chattr [ OK ]
/usr/bin/cut [ OK ]
/usr/bin/diff [ OK ]
/usr/bin/dirname [ OK ]
/usr/bin/dpkg [ OK ]
/usr/bin/dpkg-query [ OK ]
/usr/bin/du [ OK ]
/usr/bin/env [ OK ]
/usr/bin/file [ OK ]
/usr/bin/find [ OK ]
/usr/bin/GET [ OK ]
/usr/bin/groups [ OK ]
/usr/bin/head [ OK ]
/usr/bin/id [ OK ]
/usr/bin/killall [ OK ]
/usr/bin/last [ OK ]
/usr/bin/lastlog [ OK ]
/usr/bin/ldd [ OK ]
/usr/bin/less [ OK ]
/usr/bin/locate [ OK ]
/usr/bin/logger [ OK ]
/usr/bin/lsattr [ OK ]
/usr/bin/md5sum [ OK ]
/usr/bin/mlocate [ OK ]
/usr/bin/newgrp [ OK ]
/usr/bin/passwd [ OK ]
/usr/bin/perl [ OK ]
/usr/bin/pgrep [ OK ]
/usr/bin/pstree [ OK ]
/usr/bin/rkhunter [ OK ]
/usr/bin/runcon [ OK ]
/usr/bin/sha1sum [ OK ]
/usr/bin/sha224sum [ OK ]
/usr/bin/sha256sum [ OK ]
/usr/bin/sha384sum [ OK ]
/usr/bin/sha512sum [ OK ]
/usr/bin/size [ OK ]
/usr/bin/sort [ OK ]
/usr/bin/stat [ OK ]
/usr/bin/strings [ OK ]
/usr/bin/sudo [ OK ]
/usr/bin/tail [ OK ]
/usr/bin/test [ OK ]
/usr/bin/top [ OK ]
/usr/bin/touch [ OK ]
/usr/bin/tr [ OK ]
/usr/bin/uniq [ OK ]
/usr/bin/users [ OK ]
/usr/bin/vmstat [ OK ]
/usr/bin/w [ OK ]
/usr/bin/watch [ OK ]
/usr/bin/wc [ OK ]
/usr/bin/wget [ OK ]
/usr/bin/whereis [ OK ]
/usr/bin/which [ OK ]
/usr/bin/who [ OK ]
/usr/bin/whoami [ OK ]
/usr/bin/gawk [ OK ]
/usr/bin/lwp-request [ OK ]
/usr/bin/w.procps [ OK ]
/sbin/depmod [ OK ]
/sbin/fsck [ OK ]
/sbin/ifconfig [ OK ]
/sbin/ifdown [ OK ]
/sbin/ifup [ OK ]
/sbin/init [ OK ]
/sbin/insmod [ OK ]
/sbin/ip [ OK ]
/sbin/lsmod [ OK ]
/sbin/modinfo [ OK ]
/sbin/modprobe [ OK ]
/sbin/rmmod [ OK ]
/sbin/route [ OK ]
/sbin/runlevel [ OK ]
/sbin/sulogin [ OK ]
/sbin/sysctl [ OK ]
/bin/bash [ OK ]
/bin/cat [ OK ]
/bin/chmod [ OK ]
/bin/chown [ OK ]
/bin/cp [ OK ]
/bin/date [ OK ]
/bin/df [ OK ]
/bin/dmesg [ OK ]
/bin/echo [ OK ]
/bin/egrep [ OK ]
/bin/fgrep [ OK ]
/bin/fuser [ OK ]
/bin/grep [ OK ]
/bin/ip [ OK ]
/bin/kill [ OK ]
/bin/less [ OK ]
/bin/login [ OK ]
/bin/ls [ OK ]
/bin/lsmod [ OK ]
/bin/mktemp [ OK ]
/bin/more [ OK ]
/bin/mount [ OK ]
/bin/mv [ OK ]
/bin/netstat [ OK ]
/bin/ps [ OK ]
/bin/pwd [ OK ]
/bin/readlink [ OK ]
/bin/sed [ OK ]
/bin/sh [ OK ]
/bin/su [ OK ]
/bin/touch [ OK ]
/bin/uname [ OK ]
/bin/which [ OK ]
/bin/dash [ OK ]
[Press <ENTER> to continue]
Checking for rootkits...
Performing check of known rootkit files and directories
55808 Trojan - Variant A [ Not found ]
ADM Worm [ Not found ]
AjaKit Rootkit [ Not found ]
Adore Rootkit [ Not found ]
aPa Kit [ Not found ]
Apache Worm [ Not found ]
Ambient (ark) Rootkit [ Not found ]
Balaur Rootkit [ Not found ]
BeastKit Rootkit [ Not found ]
beX2 Rootkit [ Not found ]
BOBKit Rootkit [ Not found ]
cb Rootkit [ Not found ]
CiNIK Worm (Slapper.B variant) [ Not found ]
Danny-Boy's Abuse Kit [ Not found ]
Devil RootKit [ Not found ]
Dica-Kit Rootkit [ Not found ]
Dreams Rootkit [ Not found ]
Duarawkz Rootkit [ Not found ]
Enye LKM [ Not found ]
Flea Linux Rootkit [ Not found ]
FreeBSD Rootkit [ Not found ]
Fu Rootkit [ Not found ]
Fuck`it Rootkit [ Not found ]
GasKit Rootkit [ Not found ]
Heroin LKM [ Not found ]
HjC Kit [ Not found ]
ignoKit Rootkit [ Not found ]
iLLogiC Rootkit [ Not found ]
IntoXonia-NG Rootkit [ Not found ]
Irix Rootkit [ Not found ]
Kitko Rootkit [ Not found ]
Knark Rootkit [ Not found ]
ld-linuxv.so Rootkit [ Not found ]
Li0n Worm [ Not found ]
Lockit / LJK2 Rootkit [ Not found ]
Mood-NT Rootkit [ Not found ]
MRK Rootkit [ Not found ]
Ni0 Rootkit [ Not found ]
Ohhara Rootkit [ Not found ]
Optic Kit (Tux) Worm [ Not found ]
Oz Rootkit [ Not found ]
Phalanx Rootkit [ Not found ]
Phalanx2 Rootkit [ Not found ]
Phalanx2 Rootkit (extended tests) [ Not found ]
Portacelo Rootkit [ Not found ]
R3dstorm Toolkit [ Not found ]
RH-Sharpe's Rootkit [ Not found ]
RSHA's Rootkit [ Not found ]
Scalper Worm [ Not found ]
Sebek LKM [ Not found ]
Shutdown Rootkit [ Not found ]
SHV4 Rootkit [ Not found ]
SHV5 Rootkit [ Not found ]
Sin Rootkit [ Not found ]
Slapper Worm [ Not found ]
Sneakin Rootkit [ Not found ]
'Spanish' Rootkit [ Not found ]
Suckit Rootkit [ Not found ]
SunOS Rootkit [ Not found ]
SunOS / NSDAP Rootkit [ Not found ]
Superkit Rootkit [ Not found ]
TBD (Telnet BackDoor) [ Not found ]
TeLeKiT Rootkit [ Not found ]
T0rn Rootkit [ Not found ]
trNkit Rootkit [ Not found ]
Trojanit Kit [ Not found ]
Tuxtendo Rootkit [ Not found ]
URK Rootkit [ Not found ]
Vampire Rootkit [ Not found ]
VcKit Rootkit [ Not found ]
Volc Rootkit [ Not found ]
Xzibit Rootkit [ Not found ]
X-Org SunOS Rootkit [ Not found ]
zaRwT.KiT Rootkit [ Not found ]
ZK Rootkit [ Not found ]
Performing additional rootkit checks
Suckit Rookit additional checks [ OK ]
Checking for possible rootkit files and directories [ None found ]
Checking for possible rootkit strings [ None found ]
Performing malware checks
Checking running processes for suspicious files [ Skipped ]
Checking for login backdoors [ None found ]
Checking for suspicious directories [ None found ]
Checking for sniffer log files [ None found ]
Performing Linux specific checks
Checking loaded kernel modules [ OK ]
Checking kernel module names [ OK ]
[Press <ENTER> to continue]
Checking the network...
Performing checks on the network ports
Checking for backdoor ports [ None found ]
Checking for hidden ports [ Skipped ]
Performing checks on the network interfaces
Checking for promiscuous interfaces [ None found ]
Checking the local host...
Performing system boot checks
Checking for local host name [ Found ]
Checking for system startup files [ Found ]
Checking system startup files for malware [ None found ]
Performing group and account checks
Checking for passwd file [ Found ]
Checking for root equivalent (UID 0) accounts [ None found ]
Checking for passwordless accounts [ None found ]
Checking for passwd file changes [ None found ]
Checking for group file changes [ None found ]
Checking root account shell history files [ OK ]
Performing system configuration file checks
Checking for SSH configuration file [ Not found ]
Checking for running syslog daemon [ Warning ]
Checking for syslog configuration file [ Not found ]
Performing filesystem checks
Checking /dev for suspicious file types [ None found ]
Checking for hidden files and directories [ Warning ]
[Press <ENTER> to continue]
System checks summary
=====================
File properties checks...
Files checked: 125
Suspect files: 0
Rootkit checks...
Rootkits checked : 241
Possible rootkits: 0
Applications checks...
All checks skipped
The system checks took: 49 seconds
All results have been written to the log file (/var/log/rkhunter.log)
One or more warnings have been found while checking the system.
Please check the log file (/var/log/rkhunter.log)Faktycznie, teraz nie wskazuje. Zatem przyczyna lagów jest inna.
Ostatnio edytowany przez sir_lucjan (2012-01-29 18:04:12)
Dell Inspiron 15-3542 (3542-2538) || Linux Register User: #536661
Arch Linux
Offline
#10 2012-01-29 18:08:21
Jacekalex - Podobno człowiek...;)
- Jacekalex
- Podobno człowiek...;)
- Skąd: /dev/random
- Zarejestrowany: 2008-01-07
Re: Rookt - jak usunąć?
A ja mam 2 rootkity (Bardzo Groźne :D):
[17:54:03] Info: Starting test name 'startup_malware'
[17:54:11] Checking system startup files for malware [ Warning ]
[17:54:11] Warning: Found string 'hidef' in file '/etc/init.d/net.lo'. Possible rootkit: Knark Rootkit
[17:53:52] Warning: Checking for possible rootkit strings [ Warning ]
[17:53:52] Found string 'hdparm' in file '/etc/init.d/hdparm'. Possible rootkit: Xzibit Rootkit
[17:53:52] Found string 'hdparm' in file '/etc/init.d/pciparm'. Possible rootkit: Xzibit Rootkit
Także nie zasnę w nocy, bo nie wiem, jak się pozbyć stringu hdparm z /etc/init.d/hdparm ani stringu hidef z /etc/init.d/net.lo :xD
Nic, tylko się pochlastać.... ;)
Qmaty napisał(-a):
Te programy są beznadziejne i jeśli miałbyś rootkit-a to na pewno bo go nie znalazły. To prawdopodobnie fałszywy alarm. U mnie hdparm powoduje "znalezienie" tego (dokładnie tego samego) rootkit-a.
Wręcz przecinie, nie są beznadziejne, nie są też nieomylne, są takie, jakie są.
A gdyby rzeczywiście nigdy nie wykryły żadnego rootkita, to też żaden Developer nie traciłby czasu, zeby je trzymać w repo, a jest we wszystkich dystrybucjach.
Ale oba programy po to mają logi i komunikaty, aby istota rozumna - czyli użyszkodnik do nich zajrzał, i dowiedział się, jaką to psiejsko-czarodziejską aferę wykrył taki program.
A oba programy pokazują np ukryte procesy, procesy analizujące logi systemowe, i słuchające na podejrzanych portach, a także sniffery.
Poza tym np rkhuntera też trzeba skonfigurować, żeby wiedział, czego szukać, i co ignorować.
Edyta:
@Sir_Lucjan
U ciebie stoi jak byk:
[17:28:31] Found string 'hdparm' in file '/etc/init.d/.depend.boot'. Possible rootkit: Xzibit Rootkit
[17:28:31] Found string 'hdparm' in file '/etc/init.d/hdparm'. Possible rootkit: Xzibit Rootkit
czyli to samo co u mnie.
Nie ma się czego bać, to program bzdurę pokazał.
Z resztą do skryptów startowych możesz zajrzeć, i sam zobaczyc, co tam siedzi.
To by było na tyle
;-)
Ostatnio edytowany przez Jacekalex (2012-01-29 18:18:09)
W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem para bellum ;) | Pozdrawiam :)
Offline
#11 2012-01-29 18:21:12
sir_lucjan - Kierowca Bombowca
- sir_lucjan
- Kierowca Bombowca
- Skąd: /home/sir_lucjan
- Zarejestrowany: 2010-05-20
- Serwis
Re: Rookt - jak usunąć?
Pozostaje tylko teraz odnaleźć powód lagów. System postawiony na VB w ogóle nie pobiera pakietów.
Dell Inspiron 15-3542 (3542-2538) || Linux Register User: #536661
Arch Linux
Offline
#12 2012-01-29 18:21:39
Qmaty - Użytkownik
- Qmaty
- Użytkownik
- Skąd: Poznań
- Zarejestrowany: 2009-04-16
Re: Rookt - jak usunąć?
marcin'82 napisał(-a):
@Qmaty
Dlaczego są beznadziejne? Czy skanowanie systemu pod względem kontroli praw dostępu nie może wykryć anomalii? ....
To że szukane rootkit-y wykorzystują luki które są już dawno temu załatane w jądrze (bądź bibliotekach). Oczywiście jakakolwiek ochrona jest lepsza od żadnej należy jednak pamiętać iż te programy strzelają na oślep. Do przejęcia kontroli nie trzeba wcale jakiś specjalnych sztuczek wystarczy tylko podmiana odpowiedniego programu (program najlepiej żeby działał prawidłowo i spełniał swoją funkcje) który ma zostać uruchomiony na prawach root-a (najlepiej jakąś usługę sieciową).
sir_lucjan napisał(-a):
Po prostu szukam odpowiedzi na pytanie, czemu apt i kominukatory mają takie lagi.
Może któraś z partycji systemowych (/var/log ?) jest zapełniona? Kiedyś miałem taką sytuacje bo sterownik który sam kompilowałem (oczywiście coś z chrzaniłem) zwracał ciągle błędy.
Offline
#13 2012-01-29 18:31:36
marcin'82 - Użytkownik
- marcin'82
- Użytkownik
- Zarejestrowany: 2011-10-02
Re: Rookt - jak usunąć?
To że szukane rootkit-y wykorzystują luki które są już dawno temu załatane w jądrze (bądź bibliotekach). Oczywiście jakakolwiek ochrona jest lepsza od żadnej należy jednak pamiętać iż te programy strzelają na oślep. Do przejęcia kontroli nie trzeba wcale jakiś specjalnych sztuczek wystarczy tylko podmiana odpowiedniego programu (program najlepiej żeby działał prawidłowo i spełniał swoją funkcje) który ma zostać uruchomiony na prawach root-a (najlepiej jakąś usługę sieciową).
Nadal nie otrzymałem odpowiedzi na moje pytanie ... Zaznaczam iż, na nic nie czekam i nie mam zamiaru się kłócić ;]
sir_lucjan
Cytyjąc kolegę Qmaty
Qmaty napisał(-a):
Może któraś z partycji systemowych (/var/log ?) jest zapełniona?
Możesz prewencyjnie do pliku /etc/fstab dodać wpis postaci - lub każdy inny:
Kod:
tmpfs /var/log tmpfs defaults 0 0
PS
"Nic nie działa jak Polska cała!" ;]
Ostatnio edytowany przez marcin'82 (2012-01-29 18:33:26)
Offline
#14 2012-01-29 19:15:01
Bodzio - Ojciec Założyciel
Re: Rookt - jak usunąć?
sir_lucjan napisał(-a):
Nie mieści się we wiadomości, to daję w ten sposób:
http://wklej.org/id/678149/
mamy na forum własną wklejkę -> http://wklej.dug.net.pl/
Offline
#15 2012-01-29 19:44:54
Qmaty - Użytkownik
- Qmaty
- Użytkownik
- Skąd: Poznań
- Zarejestrowany: 2009-04-16
Re: Rookt - jak usunąć?
marcin'82 napisał(-a):
To że szukane rootkit-y wykorzystują luki które są już dawno temu załatane w jądrze (bądź bibliotekach). Oczywiście jakakolwiek ochrona jest lepsza od żadnej należy jednak pamiętać iż te programy strzelają na oślep. Do przejęcia kontroli nie trzeba wcale jakiś specjalnych sztuczek wystarczy tylko podmiana odpowiedniego programu (program najlepiej żeby działał prawidłowo i spełniał swoją funkcje) który ma zostać uruchomiony na prawach root-a (najlepiej jakąś usługę sieciową).
Nadal nie otrzymałem odpowiedzi na moje pytanie ... Zaznaczam iż, na nic nie czekam i nie mam zamiaru się kłócić
Bo problemem nie jest rootkit ukryć, problemem jest go przemycić do systemu :)
Generalnie rootkit powinien wykorzystując jakąś "nieznaną lukę" aby uzyskać prawa root-a, gdy natomiast posiada takie uprawnienia to:
1. Co go powstrzymuje przed modyfikacją narzędzi które mają go wykryć.
2. Nie ma żadnej pewności czy takie oprogramowanie po prostu nie potraktuje rootkit-a jako zwykłą usługę.
To rootkit w momencie uzyskania praw root-a rozdaje karty. Jakiś czas temu była dosyć głośna afera z powodu modyfikacji źródeł (na stronie projektu, nie w cvs-ie) (chyba bo już nie pamiętam co to było) serwer irc-a. Rozwiązanie genialne w swojej prostocie:
1. Mam połączenie z netem.
2. Jest uruchamiany na prawach root-a.
3. Mieszać na dysku może (w końcu jakieś tam logi, bliki konfiguracyjne ma).
4. Nawet z użyciem szyfrowania mamy dostęp do poufnych danych.
5. I najważniejsze. Jesteśmy pewni że to nie rootkit :)
To że program zostanie odnaleziony jest mało prawdopodobne (ze względu na swoją funkcje) i nie potrzeba do tego żadnych luk w systemie. Tak jest oczywiście w każdym systemie nie ważne czy to Windows, Linux czy Mac OS. Taki urok.
Już więcej danych powinien dostarczyć urządzenie przez które komputer łączy się z internetem (na chyba że obydwa urządzenia zostały zarażone). Dobry szkodnik powinien raczej sam po sobie posprzątać więc raczej bardziej podejrzane jest iż wszystko jest w porządku z systemem. Tak paranoidalna zasada :)
Poza tym nie słyszałem jeszcze o przypadku kiedy którekolwiek z tych narzędzi (chyba w sumie 4) faktycznie coś wykryło. Oczywiście w przypadku gdybym podejrzewał iż mój system padł ofiarą ataku, wtedy oczywiście korzystałbym również z tych narzędzi. Na bezrybiu i rak ryba.
Nie mówiąc iż na Desktop-ie najlepsze dane są trzymane luzem na /home i do dostępu do nich nie potrzeba praw root-a :)
Ostatnio edytowany przez Qmaty (2012-01-29 19:46:11)
Offline
#16 2012-01-29 19:59:04
Minio - Użyszkodnik
Re: Rookt - jak usunąć?
Qmaty napisał(-a):
To rootkit w momencie uzyskania praw root-a rozdaje karty. Jakiś czas temu była dosyć głośna afera z powodu modyfikacji źródeł (na stronie projektu, nie w cvs-ie) (chyba bo już nie pamiętam co to było) serwer irc-a.
Tak, chodziło o serwer IRC. Dokładniej: UnrealIRCd 3.2.8.1.
Offline
#17 2012-01-30 08:17:16
sir_lucjan - Kierowca Bombowca
- sir_lucjan
- Kierowca Bombowca
- Skąd: /home/sir_lucjan
- Zarejestrowany: 2010-05-20
- Serwis
Re: Rookt - jak usunąć?
Qmaty napisał(-a):
Może któraś z partycji systemowych (/var/log ?) jest zapełniona? Kiedyś miałem taką sytuacje bo sterownik który sam kompilowałem (oczywiście coś z chrzaniłem) zwracał ciągle błędy.
Dyski są zajęte w bardzo niewielkim stopniu, zatem RACZEJ to nie jest przyczyną. Awaria dysku też nie wchodzi raczej w grę, bo nie sypie errorami, poza jednym, przy wyłączaniu, pisze, że nie można odmontować /var/run ponieważ "/var/run is busy", okraszone jest to pięknym, czerwonym failed - ale to chyba nie jest powód zamulania internetu przy używaniu apt czy weryfikacji hasła w Gajim?
Ostatnio edytowany przez sir_lucjan (2012-01-30 08:18:44)
Dell Inspiron 15-3542 (3542-2538) || Linux Register User: #536661
Arch Linux
Offline
#18 2012-01-30 08:24:24
ArnVaker - Kapelusznik
- ArnVaker
- Kapelusznik
- Skąd: Midgard
- Zarejestrowany: 2009-05-06
Re: Rookt - jak usunąć?
sir_lucjan napisał(-a):
przy wyłączaniu, pisze, że nie można odmontować /var/run ponieważ "/var/run is busy", okraszone jest to pięknym, czerwonym failed - ale to chyba nie jest powód zamulania internetu przy używaniu apt czy weryfikacji hasła w Gajim?
Może i nie, ale też nie jest normalne. U mnie testing wyłącza się czysto… Przypadłość Sida?
Offline
#19 2012-01-30 08:54:21
sir_lucjan - Kierowca Bombowca
- sir_lucjan
- Kierowca Bombowca
- Skąd: /home/sir_lucjan
- Zarejestrowany: 2010-05-20
- Serwis
Re: Rookt - jak usunąć?
Jak to można naprawić, mam tak kilka dni?
Dell Inspiron 15-3542 (3542-2538) || Linux Register User: #536661
Arch Linux
Offline