Estamos teniendo este problema y, también en RHEL4. ¿Alguien tiene una idea de la forma en que sus máquinas estaban comprometidos inicialmente? No queremos abrir de nuevo la misma vulnerabilidad. He conectado el tres / bin / * montar archivos que encuentra en la máquina comprometida. Hay otros igualmente comprometida binarios, tales como el tacto, basename y gatos.
-Tom

Nota del moderador: he aprobado la adhesión por lo que ahora debería estar disponible para su descarga. Descargar con precaución! Se sospecha de ser malware. --- Perderabo

Archivos adjuntos

evil_mount.tar.gz (515,7 KB, 7 visitas)

Nuestro sistema está comprometida con este rootkit. Hemos seguido la recomendación de Conexiones y encontraron el monte binario con lo que parece un hash de la cadena al final. No hemos podido encontrar ninguna información sobre esto en el Internet. Si usted tiene alguna información adicional sobre este kit de raíz, por favor háganoslo saber. Su ayuda es muy apreciada.

Daisy

Esto no es cierto que es el mismo de rootkit, esto es bastante estándar para un rootkit MO.

Este artículo es útil en el tema de la limpieza y recogida de pruebas:
http://www.honeynet.org/challenge/re...y/evidence.txt

El Nuevo binario no es exactamente la misma como md5sums no coinciden. Sin embargo, el tamaño del archivo es el lugar. También las mismas características. A saber, el binario parece que va a ser roto, pero aún cargables en el kernel de Linux:

---
[badfile @ host badfiles] $ readelf-a. / montaje
Encabezado ELF:
Magic: 7 septies 45 4C 46 00 00 00 00 00 00 00 00 00 00 00 00
Clase: ninguno
Datos: ninguno
Versión: 0
OS / ABI: UNIX - System V
ABI Versión: 0
Tipo: EXEC (archivo ejecutable)
Máquina: Intel 80386
Versión: 0x1
Punto de entrada dirección: 0x1df26054
Inicio del programa de cabeceras: 52 (bytes en el archivo)
Inicio de encabezados de sección: 0 (bytes en el archivo)
Banderas: 0x0
Tamaño de esta cabecera: 52 (octetos)
Tamaño de los encabezados de programa: 32 (en bytes)
Número de cabeceras de programa: 1
Tamaño de encabezados de sección: 0 (bytes)
Número de encabezados de sección: 0
La cabecera de la sección cadena cuadro índice: 0

No hay secciones en este archivo.

No hay grupos de la sección en este archivo.

Cabeceras del Programa:
Tipo Offset VirtAddr PhysAddr FileSiz MemSiz FLG Alinee
CARGA 0x000000 0x1df26000 0x1df26000 0x8453f 0x13e000 RWE 0x1000

No hay dinámica en la sección de este archivo.

No hay deslocalizaciones en este archivo.

No hay descanso en las secciones de este archivo.

No la información de la versión que se incluye en este archivo.
[badfile @ host badfiles] $ objdump-d. / montaje
objdump:. / montaje: Formato de archivo no reconocido
[badfile @ host badfiles] $ archivo. / montaje
montaje: ELF inválida byte no válido para la clase (SysV)
---

strace como usuario sin mostrar un sistema de llamada a 'sysinfo ()' con el argumento de "0". Devuelve un error:

---
[badfile @ host evil_mount] $ strace. / montaje
execve ( ". / montaje", [ ". / montaje"], [/ * 22 variables * /]) \u003d 0
sysinfo (0) \u003d -1 EFAULT (dirección incorrecta)
---

Va a buscar más en el binario de un análisis de configuración de trabajo tengo y ver si puedo conseguir más información.

¡Salud!,
Conexiones