Fórum Root.cz
Hlavní témata => Distribuce => Téma založeno: e3k 02. 12. 2012, 19:26:03
-
najprv sa mi hodil mplayer sam do okna z fullscreenu.
pozrel som iptabule -L a vsetko bolo nastavene na ACCEPT (pred tym som mal default DROP, iba output ACCEPT)
tak som si nastavil zakladne iptables ale do /var/lib/iptables/rules-save sa mi navyse ulozilo toto:
*nat
:PREROUTING ACCEPT [389:30114]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [733:75266]
:POSTROUTING ACCEPT [733:75266]
COMMIT
a este mam dlhsiu dobu hlasky pri starte ze could not set hw clock a po novom pri shutdowne ze could not stop hw clock.
nejake napady ako overit ci masina je naozaj kompromitovana?
-
gentoo ma poznamenany md5 vsech instalovanych souboru, muzes overit. jak, to mam nekde poznamenany, ale najdu to az zitra
ja bych zmenil heslo roota a vsech uzivatelu, co maji wheel, nebo jim wheel sebral a pustil treba rkhunter a chkrootkit, oboji v gentoo je
-
Hm, v poslední době jsem zrovna čistil pár mašin, nějaký chytráci na ně nahrávají BitCoin miner.
Většinou jde o totální BFU, kteří si to tam určitě nedali.
Kdyby ten BitCoin miner počítal alespoň něco dobrého pro lidstvo a ne jen zbůhdarma topil.
-
@rum. na vytazeni cpu sa to neprejavovalo.
@trubicoid2 zmenit mozem ale ak mi tam visi keylogger tak mi to moc nepomoze.
skusim cez live cd pustit rkhunter a chkrootkit na ten disk.
este skusim pustit system s lsof na ten rules-save a pozrem co mi to tam meni.
-
takze slibena kontrola integrity:
prelink -au
cd /var/db/pkg
equery -N k `ls -d */* | sed 's/\/$//'` 2>/tmp/fail.txt
cat /tmp/fail.txt | grep MD5 | sort
prelink muzes vynechat, jestli ho nepouzivas (ja nevim, jak gentoo donutit, aby si pomatoval md5 po prelinku a ne pred)
jinak pustit rkhunter nebo chkrootkit z livecd je sice dobrej napad, nevim ale, jestli nebudes muset pouzit chroot, pac to kontroluje /bin, /usr/bin....
spis misto toho pouzivaji read-only /mnt/safe s proverenyma prikazama, ktery vezmes treba z toho svyho livecd, napr. tu:
http://www.cyberciti.biz/faq/howto-check-linux-rootkist-with-detectors-software/
-
jeste ten rkhunter umi taky delat md5sum tech kritickejch prikazu, to bys to ale musel pustit pred napadenim; von se udela cron-job
a nezapomen udelat update rkhunter --update
-
Kdyby ten BitCoin miner počítal alespoň něco dobrého pro lidstvo a ne jen zbůhdarma topil.
no ted v zimne se to hodi, ne? :) ja stejne zatim videl dolovaciho cerva jen pro widle a jen pro GPU
-
a vsetko bolo nastavene na ACCEPT (pred tym som mal default DROP, iba output ACCEPT)
Nepřepsala ti to jenom nějaká aktualizace? Důmyslné kompromitace linuxových strojů, nejsou-li to nějaké důležité servery, nejsou zas tak častým jevem.
gentoo ma poznamenany md5 vsech instalovanych souboru, muzes overit. jak, to mam nekde poznamenany, ale najdu to az zitra
Nemohl útočník ty checksumy taky změnit? (nevím, jestli to Gentoo nemá nějak kryptograficky zabezpečené, ale spíš ne)
ja bych zmenil heslo roota a vsech uzivatelu, co maji wheel, nebo jim wheel sebral a pustil treba rkhunter a chkrootkit, oboji v gentoo je
Pokud je tam rootkit, změna hesla nepomůže, a pokud byl útočník při smyslech, udělal to tak, aby to rkhunter neuměl najít.
-
Koukam kluci ze jste objevili (pro me prvni) nevyhodu Gentoo - v pripade napadeni nema admin prilis sanci poznat zda byl stroj opravdu kompromitovan a kde. V pripade jinych binarnich distribuci je mozno z nainstalovaneho seznamu balicku sestavit binarne identicky stroj a pak je porovnat. Gratuluji.
-
2 RDa to bohužel není problém jen Gentoo, ale všech mě známých systémů obecně včetně Widlí.
(Jak je na tom BSD nevím, FreeSCO na to bude třeba taky lépe zařízené.)
-
je mozno z nainstalovaneho seznamu balicku sestavit binarne identicky stroj a pak je porovnat
nu to muzes taky udelat, akorat to bude dyl trvat
a ja mam treba tri masiny se stejnym make.conf, tak potom muzu porovnavat binarky primo
Nemohl útočník ty checksumy taky změnit?
moh, ale mas zalohu, ne? zase nevim, jestli utocnik bude tak dobry, ze bude vedet, kde gentoo ma checksumy a kde ma checksumy rkhunter a kde tripewire atd.
navic gentoo je pekne nevhodny pro podvrzeni nejake binarky a jeste babrani se s checksumama, protoze se vse celkem casto updatuje; takze treba prosty emerge -e system a je v ...
-
a ja mam treba tri masiny se stejnym make.conf, tak potom muzu porovnavat binarky primo
A opravdu ti to ty binárky generuje binárně shodné? Já bych tomu úplně nevěřil - třeba se někam nasype timestamp nebo to jinak slinkuje při paralelním make -j.
Nemohl útočník ty checksumy taky změnit?
moh, ale mas zalohu, ne? zase nevim, jestli utocnik bude tak dobry, ze bude vedet, kde gentoo ma checksumy a kde ma checksumy rkhunter a kde tripewire atd.
Zálohu - no, to předpokládá, že jsem zálohoval po posledním update a zároveň ještě před tím, než mě vyownovali.
navic gentoo je pekne nevhodny pro podvrzeni nejake binarky a jeste babrani se s checksumama, protoze se vse celkem casto updatuje; takze treba prosty emerge -e system a je v ...
No a nebo si dá ten rootkit někam, kde mu to emerge nepřepíše (nebo rovnou patchne emerge).
-
A opravdu ti to ty binárky generuje binárně shodné?
ano
Já bych tomu úplně nevěřil - třeba se někam nasype timestamp nebo to jinak slinkuje při paralelním make -j.
jak jako jinak slinkuje? se to slinkuje, jak je napsany v Makefile i kdyby nektery objekty byly hotovy driv a jiny pozdeji, ne?
timestamp se pridava pokud vim akurat do kernelu
No a nebo si dá ten rootkit někam, kde mu to emerge nepřepíše (nebo rovnou patchne emerge).
nu ja myslel, ze je potreba mit pozmeneny trebas ps, top, ls, atd... a ty se prepisou
jinak emerge -e system prepise kupodivu i vlastni emerge
proste se mi zda, ze gentoo je spis pro utocnika nevyhodny nez vyhodny...
-
emerge -e systema je v ...
Toto neprojde, klidne se mohl pridat do /etc/local.d/ a bude pri rebootu spusten. Pripadne v cronu, nebo jako plugin do prohlizece.. ten emerge -e world by platil treba pro pripad kdyby jste zacal na prazdnem disku. A i tak bych tomu neveril, utocnik vam mohl pridat do world seznamu nejaky svuj trojan :) Paranoia je priserna vec, ze?
-
Toto neprojde, klidne se mohl pridat do /etc/local.d/ a bude pri rebootu spusten. Pripadne v cronu, nebo jako plugin do prohlizece.. ten emerge -e world by platil treba pro pripad kdyby jste zacal na prazdnem disku. A i tak bych tomu neveril, utocnik vam mohl pridat do world seznamu nejaky svuj trojan :) Paranoia je priserna vec, ze?
hm, ale trebas namatkou bez podvrzenyho ls co asi ukaze ls /etc/local.d nebo ls /etc/cron.hourly?
world a system jsou dve rozdilny veci, do system nic nepridas
jinak samozrejme utocnik se muze skrabat levou zadni nohou za pravym uchem a na to posledni jsou predse prasky :)
-
rkhunter ani chkrootkit nic podstatne.
skusim teraz ten trubicoidnu kontrolu integrity.
inac medzitim som zapol raz gentoo, nesiel net az kym som nevypol iptables potom siel (som sa nevedel dostat ani na router).
stiahol som lsof ze sa kuknem co mi to prepisuje firewalove rule ale emerge padol s tym ze mam invalidny gcc profil.
vsetko sa na tej masine jebe.
-
Zdravím,
po poslední aktualizaci iptables došlo ke změně v konfiguračních
souborech. /etc/init.d/iptables start skončilo chybou a firewall
nenaběhl (vše bylo povoleno). Také jsem si toho po zapnutí
počítače hned nevšiml. Na vině je tato aktualizace:
qlop -l iptables
Fri Nov 23 06:19:00 2012 >>> net-firewall/iptables-1.4.16.3
V mém případě byly nutné tyto konkrétní změny ve
/var/lib/iptables/rules-save:
Instead of e.g.:
Code:
-m state --state RELATED
Use:
Code:
-m conntrack --ctstate RELATED
Detaily: http://forums.gentoo.org/viewtopic-t-940302-start-0.html
Problémy s hwclock mohou souviset s nedávnou aktualizací openrc:
qlop -l openrc
Tue Nov 20 07:24:33 2012 >>> sys-apps/openrc-0.11.5
Sun Dec 2 07:07:40 2012 >>> sys-apps/openrc-0.11.6
Tento balíček se pokouší aktualizovat /etc/conf.d/hwclock:
equery files sys-apps/openrc | grep conf.d
...
/etc/conf.d/hwclock
...
Zkuste se podívat, jestli jste po etc-update náhodou nepřepsal
původní konfiguraci hwclock.
-
ale emerge padol s tym ze mam invalidny gcc profil.
gcc-config -l
jestli se to bude stale "jebat", tak vzit aktualni stage3 tarball a potom emerge -e system&&emerge -e world