[LUGOS-SEC] Hacked?

[Boris Sagadin]

Nejc,

Monday, July 7, 2003, 1:50:16 PM, you wrote:

NS> To verjetno pomeni, da tisti init, ki laufa pod PID 1 ni se okuzen,
NS> ne? A se da to kako preverit? Tudi "nmap -p 1-65535 moj_zunanji_ip" ni
NS> pokazal nobenega unusual porta. Hecno je, da sem na eni drugi masini
NS> (ki je sicer VPNjana s to masino) tudi dobil tale rootkit in sicer cez
NS> 6 minut.

Nekateri rootkiti poslusajo le na raw socketu, ko dobijo posebaj
zdizajniran ICMP ali UDP paket, pa za dolocen cas poslusajo na
nekem portu. Tako da to ne pomeni nic.

NS> Hecno je tudi to, da so "okuzene" le masine, ki laufajo Slackware 9.0
NS> z vsemi moznimi najnovejsimi patchi in jedrom 2.4.21. Namrec obe izmed
NS> okuzenih masin sta povezana (VPNjana) se z nekaj drugimi in nobena od
NS> teh ni compromised.

Sploh ni nujno, da je nepridiprav prisel notri preko exploita. Veriga
je mocna le kot njen najsibkejsi clen. Morda ti je kdo uturil kakega
trojanca, in nato veselo videl vsa gesla, ki si jih kdaj vtipkal? Ze
videno. Moznosti je seveda ogromno.

NS> Pa se to - ostale datoteke (ps, netstat, ls) izgledajo cisto kul
NS> (md5sum s 100% cistimi variantami).

Tudi to nekateri rootkiti uspesno fake-jo.

Jaz bi bootal s kaksnim Knoppixom, mountal particije in komaj nato
zacel s forenziko, ker tej masini trenutno ne mores zaupat niti 1%.

-- 
lp,
Boris