Muore un mito: il primo rootkit su questo forum...

[spider-net]

Scusate l'ignoranza ma clam av lo rileva ?

Una veloce query sul database di clamav mostra:

[marlboro]

Sempre clam av riesce anche ad eliminarlo ?

[Jhack]

Scusate l'ignoranza ma clam av lo rileva ?

ma clam av rileva un pacco di falsi positivi anche. se quello fosse li in mezzo quasi non ci fai caso.

[marlboro]

Esiste una soluzione alla portata di tutti ? Non so quale o come,ma un antimalware ? O qualcosa del genere ?

[iononsbalgiomai]

In realtà si potrebbe creare un tool specifico per questo malware, anziché usare un antimalware generico come ClamAV. Magari ci ha già pensato qualcuno. Si dovrebbe fare una ricerca in rete.

[ubuntumate]

Soluzioni trovate negli articolo linkati da steff:
-Disattivare l'utente robot sul server SSH
-restringere l'accesso a /lib e un'altra cartella che non ricordo
-al posto di killare il processo, bisogna metterlo in pausa e poi killarlo.Questo rootkit non intercetta il segnale SIGSTOP,ma solo SIGKILL.

[marlboro]

Non è che qualcuno molto più bravo di me potrebbe creare uno script che faccia tutto quello elencato sopra ?

[spider-net]

Soluzioni trovate negli articolo linkati da steff:
-Disattivare l'utente robot sul server SSH
-restringere l'accesso a /lib e un'altra cartella che non ricordo
-al posto di killare il processo, bisogna metterlo in pausa e poi killarlo.Questo rootkit non intercetta il segnale SIGSTOP,ma solo SIGKILL.

L'altra cartella è /etc/init.d

Non è che qualcuno molto più bravo di me potrebbe creare uno script che faccia tutto quello elencato sopra ?

Direttamente da questa pagina.

Codice: Seleziona tutto

for f in zyjuzaaame lcmowpgenr belmyowxlc aqewcdyppt
do
   mv /etc/init.d/$f /tmp/ddos/
   rm -f /etc/cron.hourly/udev.sh
   rm -f /var/run/udev.pid
   mv /lib/libgcc4.so /tmp/ddos/libgcc4.so.$f
   chattr -R +i /lib
   chattr -R +i /etc/init.d
   kill -9 19897 19890 19888 19891
done

Questo script impedisce al malware di ricrearsi.

[marlboro]

Basta avviarlo una volta o deve avviarsi ad ogni riavvio del pc ?

[spider-net]

Lo avvii se sei infetto.

[iononsbalgiomai]

Più che un metodo per ripulire il pc bisogna implementare un sistema che metta al riparo dal bruteforce sulla porta 22.
http://matthiasadler.info/blog/mitigate ... ce-attacks

Ricordiamo comunque che il problema riguarda solo chi ha un server ssh

[steff]

@sbalgio senpre: Intendevo che dovrebbero passare ad un uso del botnet non notabile alla macchina, classico.

[spider-net]

Ricordiamo comunque che il problema riguarda solo chi ha un server ssh

Infatti chiunque abbia un server ssh dovrebbe

• Configurare il server SSH, in modo da autenticarsi tramite una chiave di autenticazione e non tramite password;
• Disabilitare i login remoti per l'account di root;
• Installare utility per l'identificazione di attacchi di tipo DDoS, quali fail2ban;
• Configurare iptables.

[shouldes]

Scusate l'ignoranza ma clam av lo rileva ?

ma clam av rileva un pacco di falsi positivi anche. se quello fosse li in mezzo quasi non ci fai caso.

Per questo è meglio usare rkhunter.
L'unico warning che mi segnala:

Codice: Seleziona tutto

[13:13:07] Warning: Hidden directory found: '/dev/.udev: directory '

ed è segnalato come bug in lauchpad.
Naturalmente aggiornato (--propupd) prima della scansione (--checkall).
Oltre a /usr/bin/unhide.rb che è lui stesso a consigliare.

Invece chkrootkit mi trova infetto:

Codice: Seleziona tutto

sudo chkrootkit -q

/usr/lib/pymodules/python2.7/.path /usr/lib/python2.7/dist-packages/PyQt4/uic/widget-plugins/.noinit /usr/lib/python3/dist-packages/PyQt4/uic/widget-plugins/.noinit /lib/modules/3.19.0-23-generic/vdso/.build-id /lib/modules/3.19.0-25-generic/vdso/.build-id
/lib/modules/3.19.0-23-generic/vdso/.build-id /lib/modules/3.19.0-25-generic/vdso/.build-id
Warning: /sbin/init INFECTED
 The tty of the following user process(es) were not found
 in /var/run/utmp !
! RUID          PID TTY    CMD
! root         1234 tty7   /usr/bin/X -core :0 -seat seat0 -auth /var/run/lightdm/root/:0 -nolisten tcp vt7 -novtswitch

Ormai mi sono rassegnato e mi tengo il malware.

[ubuntumate]

Anche a me segnala unhide.rb e /dev/non so cosa su Kubuntu fresco di installazione.

[shouldes]

Anche a me segnala unhide.rb e /dev/non so cosa su Kubuntu fresco di installazione.

è normale infatti.

[marlboro]

Non so se ho capito male,ma d'ora in avanti ..avrà bisogno di un antivirus o altro ? Perché sembra proprio la fine di un mito come da titolo

[spider-net]

Non so se ho capito male,ma d'ora in avanti ..avrà bisogno di un antivirus o altro ? Perché sembra proprio la fine di un mito come da titolo

No, solo di alcuni accorgimenti. In questo caso su come si configura un server ssh.

Anche a me segnala unhide.rb e /dev/non so cosa su Kubuntu fresco di installazione.

Ti ho risposto sull'altro topic.

[marlboro]

Ok,io ho server ssh e quindi lo usa anche dal pc, sinceramente se questo malware entra nel server non mi interessa molto,tanto lo uso più che altro per sperimentare al contrario però non vorrei mai che il mio pc ne fosse esposto..che fare in questo caso ?

[Wilson]

Quando dico che avere una passwd di root è una pericolosa sciocchezza (mi pare strano che l'utente l'avesse, comunque, siamo sicuri che provi solo "root"?).

ps: per mitigare può essere una buona idea installare e configurare fail2ban (che permette di bloccare temporaneamente le connessioni fallite e rende più faticoso il brute forcing).