Muore un mito: il primo rootkit su questo forum...

[steff]

La sezione "Sicurezza" pullula di domande su rkhunter e simile, con i falsi positivi e warning, ma oggi davvero un utente si ha trovato infetto di XOR.DDoS.
https://isc.sans.edu/forums/diary/XOR+D ... sis/19827/
https://www.fireeye.com/blog/threat-res ... rutef.html


A quanto ho letto l'attacco è brute force sul server ssh provando migliaia passwd root (solo root).
Quindi un utente che ha solo il client ssh (situazione standard) dovrebbe essere immune.

[ubuntumate]

Che senso avrebbe questo virus?

[steff]

Attacchi ddos in prima linea, sembra. Ma non ho capito bene perché mette in ginocchio anche la macchina/server sul quale si installa.
Non è un virus in quanto non si propaga, è un rootkit che permette in teoria molte cose, non solo eseguire attacchi ddos.

[ubuntumate]

Io non ho detto nulla,ma sospettavo qualcosa leggendo il post dell'utente.Non sono intervenuto perchè ho dato per scontato che fosse impossibile che si trattasse di un rootkit,della serie "Tanto linux non prende malware".E invece era proprio un rootkit.Quel che ha insospettito di più è stato il nome usato e il consumo di CPU,giustificato dal bruteforce.Non potevano chiamarlo "cups" ad esempio?

[sbubba]

interessante. mi iscrivo.

[iononsbalgiomai]

Non ho capito. C'è una discussione in questo forum di un utente che si è beccato il rootkit? Se sì, un link alla discussione?

[sbubba]

http://forum.ubuntu-it.org/viewtopic.php?f=8&t=600536

[iononsbalgiomai]

Grazie sbubba.

[sbubba]

prego :°)

permette in teoria molte cose, non solo eseguire attacchi ddos.

mi piacerebbe capire cosa se ne fa uno di un rootkit su un altro computer, a parte fare attacchi ddos.
e soprattutto come l'ha subito l'utente. basta installare il server ssh? se l'utente avesse avuto una password di root lunga e complicata, non "prevedibile" in un vocabolario, sarebbe stato infettato lo stesso?

[iononsbalgiomai]

Da quanto leggo nell'articolo di Avast, mi pare di capire che il bruteforce avvenga da remoto tramite la porta ssh. Una volta ottenuta la password di root viene installato uno script che raccoglie un po' di informazioni sul sistema e le invia al server remoto. Quest'ultimo in base a queste info confeziona un trojan su misura e lo invia al pc attaccato. Una volta arrivato a destinazione il trojan esegue un loop infinito di istruzioni (da cui la cpu al 100%) per ricevere ordini dal server c&c, reinstallarsi come /lib/udev/udev e altri comandi "flooding".
Lo scopo è quindi quello di rendere il pc uno zombie che esegue le istruzioni del server c&c, probabilmente per lanciare un DDOS.

[giacomosmit]

Seguo .

[TommyB1992]

Scusate sono abbastanza niubbo.

Ma se deve bruteforcare per ottenere accesso root che "gran utilità" ha?

Cioè se io stesso installo un programma di terzi ignoti e quello mi fa un bruteforce e tengo come password "123456" egualmente può installarmi una rootkit.

Se accede tramite ssh non è ovvio che ottenga i permessi di root e quindi possa far tutto a prescindere?

Scusate ma non riesco a capire tutto questo clamore perchè evidentemente non conosco bene tutto il funzionamento.

[steff]

In SSH basta disabilitare il login di root, almeno devono anche individuare il nome utente, infatti quel XOR.DDoS prova solo passwd del utente root, non conosco bene SSH ma credo che i utenti sono sempre quelli del sistema e possono o meno acquisire diritti di root tramite sudo secondo a quali gruppi appartengano.

Quel che non capisco è questa storia del flooding: fa di tutto per essere scoperto presto.

interessante. mi iscrivo.

Interesse manifestato, faccio presente che esiste "abbonati alla discussione" in fondo alla pagina senza bisogna di intervenire.

[TommyB1992]

In SSH basta disabilitare il login di root, almeno devono anche individuare il nome utente, infatti quel XOR.DDoS prova solo passwd del utente root, non conosco bene SSH ma credo che i utenti sono sempre quelli del sistema e possono o meno acquisire diritti di root tramite sudo secondo a quali gruppi appartengano.

Quel che non capisco è questa storia del flooding: fa di tutto per essere scoperto presto.

ciao si,

io quando acceddo tramite ssh ad un server esterno utilizzo generalmente il root e la pass di sistema, quindi si, sono quelli di sistema.

[Jhack]

https://it.wikipedia.org/wiki/Rootkit

roba bella potente :rock:

io reinstallerei direttamente l os

[iononsbalgiomai]

[...]Quel che non capisco è questa storia del flooding: fa di tutto per essere scoperto presto.

Anch'io sono piuttosto perplesso. Normalmente i pc facenti parte di una botnet dovrebbero solo eseguire gli ordini del server c&c nel modo più trasparente possibile, in modo che l'utente non se ne accorga. L'obiettivo è creare una grande rete di zombi con cui lanciare un DDOS contro un'obiettivo specifico, un sito web per esempio, mentre gli utenti che usano i pc zombie continuano tranquillamente a fare il proprio lavoro.
Questo malware invece, oltre a ricevere ed eseguire gli ordini del c&c, sovraccarica il pc in cui si trova. In pratica cerca di mandarlo in DOS.

Ciò mi fa pensare che l'obiettivo del malware sia mandare in DOS tutti i server che attacca, e nello stesso tempo utilizzarne le risorse per fare il bruteforce sulla prossima vittima. In pratica il server c&c distribuisce il carico di lavoro per il bruteforce su tutta la botnet. Ogni volta che il bruteforce va a segno la botnet si ingrandisce e la potenza di calcolo per i prossimi bruteforce aumenta. Pertanto l'obiettivo finale non è lanciare un DDOS nei confronti di un server specifico, bensì far "morire" di DOS tutti gli zombie che entra nella botnet.

(Il corsivo sono mie riflessioni, non fatti documentati)

[steff]

Già, una specie di worm, mi sembra una spiegazione plausibile, finché aumentano i server infetti farebbe senso. A un certo punto però dovrebbero smettere.
Da qualche parte avevo letto però che gli attacchi partirono solo dal range IP di questi cinesi "Hee Thai".

[marlboro]

Scusate l'ignoranza ma clam av lo rileva ?

[steff]

Scusate l'ignoranza ma clam av lo rileva ?

Sembra di sì. Seconda scheda qui.

[iononsbalgiomai]

Già, una specie di worm, mi sembra una spiegazione plausibile, finché aumentano i server infetti farebbe senso. A un certo punto però dovrebbero smettere.
Da qualche parte avevo letto però che gli attacchi partirono solo dal range IP di questi cinesi "Hee Thai".

Probabilmente l'hai letto qui: https://www.fireeye.com/blog/threat-res ... rutef.html
Dubito però che si arriverà mai a un punto in cui smetteranno i bruteforce (se era questo che intendevi con "a un certo punto però dovrebbero smettere").