[Internet] software UNHIDE (con RKHUNTER) e HIDDEN PIDS -> LINUX COLABRODO..

[michele300]

ho fatto tutte le mie brave impostazioni del OS
->disabilitare login root ssh,
cambiare stringa "tmps" in /etc/fstab,
ecc. ecc.
riformattato più volte.

ogni volta che installo rkhuner + unhide,
quest'ultimo mi trova SEMPRE, leggasi SEMPRE,  "HIDDEN PIDS"
(->precursori e sintomatici di rootkits)

1) sono FALSE POSITIVES o altro?
2) qualcuno mi suggerisce settaggio OS ubuntu a prova di BOMBA ATOMICA?

la mia sarà paranoia ma..
scovare ogni volta 3-4 HIDDEN PIDS mi inquieta..

Su linux virus e malware non ci sono perchè sono...SUPERFLUI,
basta diventare "root" e poi fai quello che vuoi..

grazie.

ciao.

UNHIDE

Forensic tool to find hidden processes and ports
Unhide is a forensic tool to find processes and TCP/UDP ports hidden by
rootkits, Linux kernel modules or by other techniques.  It includes two
utilities: unhide and unhide-tcp.

unhide detects hidden processes using three techniques:
- comparing the output of /proc and /bin/ps
- comparing the information gathered from /bin/ps with the one gathered
   from system calls (syscall scanning)
- full scan of the process ID space (PIDs bruteforcing)

unhide-tcp identifies TCP/UDP ports that are listening but are not listed in
/bin/netstat through brute forcing of all TCP/UDP ports available.

This package can be used by rkhunter in its daily scans.

NON FIDATEVI TROPPO DELL'INVULNERABILITÀ DI LINUX....

[michele300]

ho fatto tutte le mie brave impostazioni del OS
->disabilitare login root ssh,
cambiare stringa "tmps" in /etc/fstab,
ecc. ecc.
riformattato più volte.

ogni volta che installo rkhuner + unhide,
quest'ultimo mi trova SEMPRE, leggasi SEMPRE,  "HIDDEN PIDS"
(->precursori e sintomatici di rootkits)

1) sono FALSE POSITIVES o altro?
2) qualcuno mi suggerisce settaggio OS ubuntu a prova di BOMBA ATOMICA?

la mia sarà paranoia ma..
scovare ogni volta 3-4 HIDDEN PIDS mi inquieta..

Su linux virus e malware non ci sono perchè sono...SUPERFLUI,
basta diventare "root" e poi fai quello che vuoi..

grazie.

ciao.

UNHIDE

Forensic tool to find hidden processes and ports
Unhide is a forensic tool to find processes and TCP/UDP ports hidden by
rootkits, Linux kernel modules or by other techniques.  It includes two
utilities: unhide and unhide-tcp.

unhide detects hidden processes using three techniques:
- comparing the output of /proc and /bin/ps
- comparing the information gathered from /bin/ps with the one gathered
   from system calls (syscall scanning)
- full scan of the process ID space (PIDs bruteforcing)

unhide-tcp identifies TCP/UDP ports that are listening but are not listed in
/bin/netstat through brute forcing of all TCP/UDP ports available.

This package can be used by rkhunter in its daily scans.

NON FIDATEVI TROPPO DELL'INVULNERABILITÀ DI LINUX....

appena installato UBUNTU 8.10.

correttivi tmpfs sudo aggiornamenti etc.

installo rkhunter + unhide + chkrootkit

RISULTATO???
chkrootkit:
possible 4 (!) LKM TROJAN

unhide:
una CATERVA di "HIDDEN PIDs"

DOPO NEANCHE MEZZ'ORA DALL' INSTALLAZIONE..!!

..e questo sarebbe un sistema sicuro?

ALMENO NON ROMPETECI LE P***E colla inviolabilità di ubuntu...!!

ALMENO SIATE ONESTI..!!

SALUTI!!

[Ipnorospo]

???

[Jano .]

appena installato UBUNTU 8.10.

correttivi tmpfs sudo aggiornamenti etc.

installo rkhunter + unhide + chkrootkit

RISULTATO???
chkrootkit:
possible 4 (!) LKM TROJAN

unhide:
una CATERVA di "HIDDEN PIDs"

DOPO NEANCHE MEZZ'ORA DALL' INSTALLAZIONE..!!

..e questo sarebbe un sistema sicuro?

ALMENO NON ROMPETECI LE P***E colla inviolabilità di ubuntu...!!

ALMENO SIATE ONESTI..!!

SALUTI!!

- Un saluto a tutti,

- E da un po che osservo questo Topic, e mi chiedo di cosa state parlando.....
- Prima di installare certi programmi, almeno credo che bisognerebbe sapere di che cosa si sta parlando, di come funzionano e come interpretarli.
- Non mi dilungo, perché sarebbe come parlare in Italiano ad un Cinese (senza offesa) 
- E poi questi paragoni tra OS, sono già stati fatti, e i risultati parlano chiaro. (non perché lo diciamo Noi nel Forum).
- Quegli Hidden che vedi probabilmente sono lanciati da altri programmi, Java per esempio è uno di quelli.
Se vuoi puoi verificare così:

Codice: Seleziona tutto

ps -Af

- UBUNTU, è più sicuro, per un semplice motivo:
Forse ha più BUG di altri Sistemi, ma la differenza e che su Ubuntu è MOLTO improbabile riuscire ad USARLI.
Altri sistemi hanno meno BUG, ma quelli che hanno li riesci a sfruttare PIENAMENTE.

- La distribuzione "perfetta" non esiste, ognuno sceglie quella con cui si trova meglio, con i sui pregi e difetti.

- Ad ogni modo, siamo su un Forum, vero è che ognuno può dire la "sua" ma con i "dovuti modi".

Ciao Jano

[michele300]

ho fatto tutte le mie brave impostazioni del OS
->disabilitare login root ssh,
cambiare stringa "tmps" in /etc/fstab,
ecc. ecc.
riformattato più volte.

ogni volta che installo rkhuner + unhide,
quest'ultimo mi trova SEMPRE, leggasi SEMPRE,  "HIDDEN PIDS"
(->precursori e sintomatici di rootkits)

1) sono FALSE POSITIVES o altro?
2) qualcuno mi suggerisce settaggio OS ubuntu a prova di BOMBA ATOMICA?

la mia sarà paranoia ma..
scovare ogni volta 3-4 HIDDEN PIDS mi inquieta..

Su linux virus e malware non ci sono perchè sono...SUPERFLUI,
basta diventare "root" e poi fai quello che vuoi..

grazie.

ciao.

UNHIDE

Forensic tool to find hidden processes and ports
Unhide is a forensic tool to find processes and TCP/UDP ports hidden by
rootkits, Linux kernel modules or by other techniques.  It includes two
utilities: unhide and unhide-tcp.

unhide detects hidden processes using three techniques:
- comparing the output of /proc and /bin/ps
- comparing the information gathered from /bin/ps with the one gathered
   from system calls (syscall scanning)
- full scan of the process ID space (PIDs bruteforcing)

unhide-tcp identifies TCP/UDP ports that are listening but are not listed in
/bin/netstat through brute forcing of all TCP/UDP ports available.

This package can be used by rkhunter in its daily scans.

NON FIDATEVI TROPPO DELL'INVULNERABILITÀ DI LINUX....

appena installato UBUNTU 8.10.

correttivi tmpfs sudo aggiornamenti etc.

installo rkhunter + unhide + chkrootkit

RISULTATO???
chkrootkit:
possible 4 (!) LKM TROJAN

unhide:
una CATERVA di "HIDDEN PIDs"

DOPO NEANCHE MEZZ'ORA DALL' INSTALLAZIONE..!!

..e questo sarebbe un sistema sicuro?

ALMENO NON ROMPETECI LE P***E colla inviolabilità di ubuntu...!!

ALMENO SIATE ONESTI..!!

SALUTI!!

- Un saluto a tutti,

- E da un po che osservo questo Topic, e mi chiedo di cosa state parlando.....
- Prima di installare certi programmi, almeno credo che bisognerebbe sapere di che cosa si sta parlando, di come funzionano e come interpretarli.
- Non mi dilungo, perché sarebbe come parlare in Italiano ad un Cinese (senza offesa) 
- E poi questi paragoni tra OS, sono già stati fatti, e i risultati parlano chiaro. (non perché lo diciamo Noi nel Forum).
- Quegli Hidden che vedi probabilmente sono lanciati da altri programmi, Java per esempio è uno di quelli.
Se vuoi puoi verificare così:

Codice: Seleziona tutto

ps -Af

- UBUNTU, è più sicuro, per un semplice motivo:
Forse ha più BUG di altri Sistemi, ma la differenza e che su Ubuntu è MOLTO improbabile riuscire ad USARLI.
Altri sistemi hanno meno BUG, ma quelli che hanno li riesci a sfruttare PIENAMENTE.

- La distribuzione "perfetta" non esiste, ognuno sceglie quella con cui si trova meglio, con i sui pregi e difetti.

Ciao Jano

allora forse riusciamo a venirne a capo..

comando "unhide sys"
scansione in tempo reale

[*]Searching for Hidden processes through sched_getparam() scanning

Found HIDDEN PID: 9971

comando "unhide brute"
Unhide 20080519
yjesus@security-projects.com


[*]Starting scanning using brute force against PIDS

Found HIDDEN PID: 4726
Found HIDDEN PID: 6236
Found HIDDEN PID: 6327
Found HIDDEN PID: 11107
Found HIDDEN PID: 21276
Found HIDDEN PID: 30917
Found HIDDEN PID: 31707


comando "unhide proc"
unhide proc
Unhide 20080519
yjesus@security-projects.com


[*]Searching for Hidden processes through /proc scanning

Found HIDDEN PID: 18695

sudo chkrootkit
..
Checking `lkm'... You have     1 process hidden for readdir command
You have     1 process hidden for ps command
chkproc: Warning: Possible LKM Trojan installed

È TUTTO OK??
MAH..
vorrei delle spiegazioni più dettagliate,
che il solito MANTRA che "linux è sicuro,ecc. ecc."

faccio notare che ho installato UBUNTU 8.10 1 ORA FA.
se il buon giorno si vede dal mattino..


approposito del software unhide

Forensic tool to find hidden processes and ports
Unhide is a forensic tool to find processes and TCP/UDP ports hidden by
rootkits, Linux kernel modules or by other techniques.  It includes two
utilities: unhide and unhide-tcp.

unhide detects hidden processes using three techniques:
- comparing the output of /proc and /bin/ps
- comparing the information gathered from /bin/ps with the one gathered
   from system calls (syscall scanning)
- full scan of the process ID space (PIDs bruteforcing)

unhide-tcp identifies TCP/UDP ports that are listening but are not listed in
/bin/netstat through brute forcing of all TCP/UDP ports available.

non sono un ingegnere ma credo di capire di che programma si tratti...
siccome io non uso internet per giocare o per visionare video porno,
ma per LAVORO,
vorrei capire cosa sta succedendo.. 

[Jano .]

Controlla se vedi qualcosa di strano:

Codice: Seleziona tutto

ps -Af

Codice: Seleziona tutto

ps -e

e poi vai nella directory dei pid per verificare:

Codice: Seleziona tutto

proc/18695

Ciao, Jano

[fortran77]

Al 99,9999999....99999% non hai nulla, solo falsi positivi.
Se però moderi i toni, ti dai una calmata e inizi a interagire costruttivamente sono disposto a darti una mano a capire cosa succede, altrimenti chiudo qui. Ciao.

[michele300]

Controlla se vedi qualcosa di strano:

Codice: Seleziona tutto

ps -Af

Codice: Seleziona tutto

ps -e

e poi vai nella directory dei pid per verificare:

Codice: Seleziona tutto

proc/18695

Ciao, Jano

ok, proverò..

ps -Af
ps -e

non dicono/indicano nulla
(->ci sono processi nascosti "invisibili" a ps)

vedrò con proc/****

grazie per suggerimenti PRATICI.

ciao.

la mia opinione è che...
..8.10 è pieno di bug/falle (essendo nuovo)
tra un pò vi saranno le patches di sicurezza,
intanto mi avranno sniffato "conto in banca, mail ,etc. etc."

-> ho riformattato e reinstallato 8.04 (+ sicuro..)

[michele300]

Al 99,9999999....99999% non hai nulla, solo falsi positivi.
Se però moderi i toni, ti dai una calmata e inizi a interagire costruttivamente sono disposto a darti una mano a capire cosa succede, altrimenti chiudo qui. Ciao.

al 99,99999% ..sono fregato..!

(->vogliamo parlare di ETTERCAP?
di MITM?
di OVERFLOW DEL BUFFER?)

se hai qualche suggerimento pratico come JUNO (che ringrazio)
quello è ben accetto..

sennò resto delle mie opinioni..

->INTANTO (in attesa di patch sulla sicurezza)
HO REISTALLATO 8.04..

CIAO.

[Jano .]

la mia opinione è che...
..8.10 è pieno di bug/falle (essendo nuovo)
tra un pò vi saranno le patches di sicurezza,
intanto mi avranno sniffato "conto in banca, mail ,etc. etc."
-> ho riformattato e reinstallato 8.04 (+ sicuro..)

- Io uso la 8.04 (la 8.10 su HDD-USB), ma i BUG, ti ripeto, non sono un grosso problema su Ubuntu (inquanto poco sfruttabili per rompere le altre protezioni).
- Una macchina Windows con un solo BUG diventa sfruttabile (fidati)

- I dati sniffati, dipendono dalla connessione e protezione che stai utilizzando, non rientrano in questa problematica, quelli sono dati inviati nell' etere e il sistema interno non c' entra.
- Un attacco con Ettercap, di ARP Poisoning o reindirizzamento dei DNS (da te citato) si attua su qualsiasi macchina, ma SOLO una volta trovata la password e collegandosi/iterfacciandosi alla LAN.
- Questo vale per la decrittazzione dei dati inviati, differente è invece spingersi "avanti" con qualche Exploit, sfruttando un BUG di sistema o dei programmi utilizzati al momento. (questo per aprire shell di root)

- Ma Ripeto, stiamo parlando di prendere il controllo del sistema, che è una cosa molto differente, dal SOLO "sniffare" la connessione wifi.
- Non mescoliamo gli argomenti, in quanto differenti.

Ciao, Jano 

[jubbaman]

A me puzza di troll...

[Jano .]

A me puzza di troll...

- Che cosa è un Toll...... un virus...!!
- Ne ho trovato uno.....

Ciao, Jano

[michele300]

Controlla se vedi qualcosa di strano:

Codice: Seleziona tutto

ps -Af

Codice: Seleziona tutto

ps -e

e poi vai nella directory dei pid per verificare:

Codice: Seleziona tutto

proc/18695

Ciao, Jano

proc/18695
che significa?

ho provato ma non mi dà nulla..

ps -Af
ps -e
non mi indicano nessuna corrispondenza processi-hidden pid rilevati..


CIAO.

[michele300]

A me puzza di troll...

vorrei tanto che il sistema fosse sufficientemente sicuro

per non perdere tempo a leggere commenti del genere..

hai qualche suggerimento pratico al caso specifico?

[jubbaman]

A me puzza di troll...

vorrei tanto che il sistema fosse sufficientemente sicuro

per non perdere tempo a leggere commenti del genere..

hai qualche suggerimento pratico al caso specifico?

Si. Staccalo dalla rete se vuoi che sia ASSOLUTAMENTE sicuro.

[fortran77]

don't feed the troll

[ryuujin]

don't feed the troll

chiudete il topic per favore...
...non sopporto lamer e troll

[pierba]

La discussione, messa in questo modo non porta da nessuna parte, quindi la chiudiamo.

Se davvero vuoi aiuto, e non soltanto polemizzare, aprine un'altra postando il contenuto del file
- proc/18695

e l'output dei comandi:
- ps -Af
- ps -e

in modo che si possa confrontarci su dati concreti.

ciao