Kompromitovaná Gentoo mašina?

[e3k]

najprv sa mi hodil mplayer sam do okna z fullscreenu.
pozrel som iptabule -L a vsetko bolo nastavene na ACCEPT (pred tym som mal default DROP, iba output ACCEPT)
tak som si nastavil zakladne iptables ale do /var/lib/iptables/rules-save sa mi navyse ulozilo toto:
*nat
:PREROUTING ACCEPT [389:30114]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [733:75266]
:POSTROUTING ACCEPT [733:75266]
COMMIT

a este mam dlhsiu dobu hlasky pri starte ze could not set hw clock a po novom pri shutdowne ze could not stop hw clock.

nejake napady ako overit ci masina je naozaj kompromitovana?

[Reklama]

[trubicoid2]

gentoo ma poznamenany md5 vsech instalovanych souboru, muzes overit. jak, to mam nekde poznamenany, ale najdu to az zitra

ja bych zmenil heslo roota a vsech uzivatelu, co maji wheel, nebo jim wheel sebral a pustil treba rkhunter a chkrootkit, oboji v gentoo je

[KapitánRUM]

Hm, v poslední době jsem zrovna čistil pár mašin, nějaký chytráci na ně nahrávají BitCoin miner.
Většinou jde o totální BFU, kteří si to tam určitě nedali.
Kdyby ten BitCoin miner počítal alespoň něco dobrého pro lidstvo a ne jen zbůhdarma topil.

[e3k]

@rum. na vytazeni cpu sa to neprejavovalo.
@trubicoid2 zmenit mozem ale ak mi tam visi keylogger tak mi to moc nepomoze.
skusim cez live cd pustit rkhunter a chkrootkit na ten disk.
este skusim pustit system s lsof na ten rules-save a pozrem co mi to tam meni.

[trubicoid2]

takze slibena kontrola integrity:

Kód: [Vybrat]

prelink -au
cd /var/db/pkg
equery -N k `ls -d */* | sed 's/\/$//'` 2>/tmp/fail.txt
cat /tmp/fail.txt | grep MD5 | sort
prelink muzes vynechat, jestli ho nepouzivas (ja nevim, jak gentoo donutit, aby si pomatoval md5 po prelinku a ne pred)

jinak pustit rkhunter nebo chkrootkit z livecd je sice dobrej napad, nevim ale, jestli nebudes muset pouzit chroot, pac to kontroluje /bin, /usr/bin....

spis misto toho pouzivaji read-only /mnt/safe s proverenyma prikazama, ktery vezmes treba z toho svyho livecd, napr. tu:
http://www.cyberciti.biz/faq/howto-check-linux-rootkist-with-detectors-software/

[Reklama]

[trubicoid2]

jeste ten rkhunter umi taky delat md5sum tech kritickejch prikazu, to bys to ale musel pustit pred napadenim; von se udela cron-job

a nezapomen udelat update

Kód: [Vybrat]

rkhunter --update

[trubicoid2]

Kdyby ten BitCoin miner počítal alespoň něco dobrého pro lidstvo a ne jen zbůhdarma topil.

no ted v zimne se to hodi, ne? ja stejne zatim videl dolovaciho cerva jen pro widle a jen pro GPU

[Jenda]

a vsetko bolo nastavene na ACCEPT (pred tym som mal default DROP, iba output ACCEPT)

Nepřepsala ti to jenom nějaká aktualizace? Důmyslné kompromitace linuxových strojů, nejsou-li to nějaké důležité servery, nejsou zas tak častým jevem.

gentoo ma poznamenany md5 vsech instalovanych souboru, muzes overit. jak, to mam nekde poznamenany, ale najdu to az zitra

Nemohl útočník ty checksumy taky změnit? (nevím, jestli to Gentoo nemá nějak kryptograficky zabezpečené, ale spíš ne)

ja bych zmenil heslo roota a vsech uzivatelu, co maji wheel, nebo jim wheel sebral a pustil treba rkhunter a chkrootkit, oboji v gentoo je

Pokud je tam rootkit, změna hesla nepomůže, a pokud byl útočník při smyslech, udělal to tak, aby to rkhunter neuměl najít.

[RDa]

Koukam kluci ze jste objevili (pro me prvni) nevyhodu Gentoo - v pripade napadeni nema admin prilis sanci poznat zda byl stroj opravdu kompromitovan a kde. V pripade jinych binarnich distribuci je mozno z nainstalovaneho seznamu balicku sestavit binarne identicky stroj a pak je porovnat. Gratuluji.

[KapitánRUM]

2 RDa to bohužel není problém jen Gentoo, ale všech mě známých systémů obecně včetně Widlí.
(Jak je na tom BSD nevím, FreeSCO na to bude třeba taky lépe zařízené.)

[trubicoid2]

je mozno z nainstalovaneho seznamu balicku sestavit binarne identicky stroj a pak je porovnat

nu to muzes taky udelat, akorat to bude dyl trvat

a ja mam treba tri masiny se stejnym make.conf, tak potom muzu porovnavat binarky primo

Nemohl útočník ty checksumy taky změnit?

moh, ale mas zalohu, ne? zase nevim, jestli utocnik bude tak dobry, ze bude vedet, kde gentoo ma checksumy a kde ma checksumy rkhunter a kde tripewire atd.

navic gentoo je pekne nevhodny pro podvrzeni nejake binarky a jeste babrani se s checksumama, protoze se vse celkem casto updatuje; takze treba prosty

Kód: [Vybrat]

emerge -e system a je v ...

[Jenda]

a ja mam treba tri masiny se stejnym make.conf, tak potom muzu porovnavat binarky primo

A opravdu ti to ty binárky generuje binárně shodné? Já bych tomu úplně nevěřil - třeba se někam nasype timestamp nebo to jinak slinkuje při paralelním make -j.

Nemohl útočník ty checksumy taky změnit?

moh, ale mas zalohu, ne? zase nevim, jestli utocnik bude tak dobry, ze bude vedet, kde gentoo ma checksumy a kde ma checksumy rkhunter a kde tripewire atd.

Zálohu - no, to předpokládá, že jsem zálohoval po posledním update a zároveň ještě před tím, než mě vyownovali.

navic gentoo je pekne nevhodny pro podvrzeni nejake binarky a jeste babrani se s checksumama, protoze se vse celkem casto updatuje; takze treba prosty

Kód: [Vybrat]

emerge -e system a je v ...

No a nebo si dá ten rootkit někam, kde mu to emerge nepřepíše (nebo rovnou patchne emerge).

[trubicoid2]

A opravdu ti to ty binárky generuje binárně shodné?

ano

Já bych tomu úplně nevěřil - třeba se někam nasype timestamp nebo to jinak slinkuje při paralelním make -j.

jak jako jinak slinkuje? se to slinkuje, jak je napsany v Makefile i kdyby nektery objekty byly hotovy driv a jiny pozdeji, ne?

timestamp se pridava pokud vim akurat do kernelu

No a nebo si dá ten rootkit někam, kde mu to emerge nepřepíše (nebo rovnou patchne emerge).

nu ja myslel, ze je potreba mit pozmeneny trebas ps, top, ls, atd... a ty se prepisou
jinak emerge -e system prepise kupodivu i vlastni emerge

proste se mi zda, ze gentoo je spis pro utocnika nevyhodny nez vyhodny...

[RDa]

Kód: [Vybrat]

emerge -e systema je v ...

Toto neprojde, klidne se mohl pridat do /etc/local.d/ a bude pri rebootu spusten. Pripadne v cronu, nebo jako plugin do prohlizece..  ten emerge -e world by platil treba pro pripad kdyby jste zacal na prazdnem disku. A i tak bych tomu neveril, utocnik vam mohl pridat do world seznamu nejaky svuj trojan Paranoia je priserna vec, ze?

[trubicoid2]

Toto neprojde, klidne se mohl pridat do /etc/local.d/ a bude pri rebootu spusten. Pripadne v cronu, nebo jako plugin do prohlizece..  ten emerge -e world by platil treba pro pripad kdyby jste zacal na prazdnem disku. A i tak bych tomu neveril, utocnik vam mohl pridat do world seznamu nejaky svuj trojan Paranoia je priserna vec, ze?

hm, ale trebas namatkou bez podvrzenyho ls co asi ukaze ls /etc/local.d nebo ls /etc/cron.hourly?

world a system jsou dve rozdilny veci, do system nic nepridas

jinak samozrejme utocnik se muze skrabat levou zadni nohou za pravym uchem a na to posledni jsou predse prasky