Nous avons eu ce problème aussi bien, aussi sur RHEL4. Est-ce que quelqu'un a une idée de la façon dont leurs machines ont été compromise au départ? Nous ne voulons pas ouvrir de nouveau la même vulnérabilité. J'ai joint les trois / bin / mount * dossiers que nous avons trouvé sur la machine compromise. Il y avait d'autres de même compromise binaires, tels que le toucher, et basename cat.
-Tom

Note du modérateur: J'ai juste d'approuver la fixation de sorte qu'il devrait désormais être disponible pour le téléchargement. Téléchargez-le avec précaution! Il est soupçonné d'être des logiciels malveillants. --- Perderabo

Fichiers attachés

evil_mount.tar.gz (515,7 KB, 7 views)

Notre système est compromise par ce rootkit. Nous avons suivi la recommandation de Raccordements et a trouvé le montage binaire avec ce qui ressemble à une chaîne de hachage ajouté à la fin. Nous n'avons pas pu trouver aucune information à ce sujet sur Internet. Si vous avez d'autres informations à ce sujet s'il vous plaît root kit-le nous savoir. Votre aide est grandement appréciée.

Daisy

Ce n'est pas certain d'être le même rootkit, c'est à peu près standard MO pour un rootkit.

Cet article est utile sur le thème de nettoyage et de collecte de preuves:
http://www.honeynet.org/challenge/re...y/evidence.txt

Le binaire n'est pas affiché les mêmes que celles md5sums ne correspondent pas. Toutefois, la taille du fichier est sur place. Toujours les mêmes caractéristiques. À savoir, le fichier binaire semble cassé, mais chargeable par le noyau Linux:

---
[badfile @ hôte badfiles] $ readelf-a. / mount
ELF-tête:
Magic: 7f 45 4c 46 00 00 00 00 00 00 00 00 00 00 00 00
Classe: none
Data: none
Version: 0
OS / ABI: UNIX - System V
ABI Version: 0
Type: EXEC (fichier exécutable)
Machine: Intel 80386
Version: 0x1
Point d'entrée de l'adresse: 0x1df26054
Début du programme de têtes: 52 (octets dans le fichier)
Début de la section headers: 0 (octets dans le fichier)
Flags: 0x0
Taille de la tête: 52 (bytes)
Taille du programme headers: 32 (bytes)
Nombre de têtes de programme: 1
Taille de l'article têtes: 0 (bytes)
Nombre de têtes de section: 0
Section header string table index: 0

Il n'y a pas de sections de ce fichier.

Il n'y a pas de groupes de la section dans ce fichier.

Programme de têtes:
Type Offset VirtAddr PhysAddr FileSiz MemSiz flg Align
CHARGE 0x000000 0x1df26000 0x1df26000 0x8453f 0x13e000 RWE 0x1000

Il n'y a pas de dynamique dans ce fichier.

Il n'y a pas de délocalisations dans ce fichier.

Il n'y a pas de sections de décompresser ce fichier.

Pas de version l'information trouvée dans ce fichier.
[badfile @ hôte badfiles] $ objdump-d. / mount
objdump:. / mount: Format de fichier non reconnu
[badfile @ hôte badfiles] $ fichier. / mount
mount: ELF invalide invalide classe byte order (SysV)
---

strace comme démunis utilisateur montrent un système d'appel à "SysInfo ()" avec l'argument de "0". Il renvoie une erreur:

---
[badfile @ hôte evil_mount] $ strace. / mount
execve ( ". / mount", [ ". / mount"], [/ * 22 vars * /]) \u003d 0
SysInfo (0) \u003d -1 EFAULT (Bad address)
---

Allons voir plus loin dans le fichier binaire à partir d'une analyse de poste de travail, j'ai l'installation et voir si je peux obtenir de plus amples informations.

À la vôtre,
Raccordements