我々としても、また、 RHEL4の上でこの問題があるんです。どう考えているのは誰でも最初は自分のマシンが侵害されましたか？私たちは再び同じ脆弱性を開放する必要はありません。私は/ binに/ *私たちは妥協マウントの3つのマシン上で検索されたファイルを添付しました。触れると、ベースや猫などの他にも同じように侵害されたバイナリのほか、 。
トム

モデレータの注記：私は今すぐダウンロードすることができますので、必要がある添付ファイルを承認している。ダウンロードは慎重に！にしてマルウェアの疑いがある。 --- Perderabo

添付ファイル

evil_mount.tar.gz （ 515.7キロバイト、 7ビュー）

我々のシステムでは、このルートキットを侵害している。私たちは接続からの勧告に従い、何のバイナリ文字列を末尾に追記されたハッシュのようにマウントを発見した。我々はインターネット上でこのことについては情報を見つけることができませんでした。含まれる場合は追加情報をGoogleまでご連絡くださいこのルートキットに関するている。ご協力大歓迎です。

デイジー

これは、同じルートキットが一定ではありませんが、これはルートキットの標準MOをかなりされています。

この記事のクリーンアップや証拠収集の対象に便利です：
http://www.honeynet.org/challenge/re...y/evidence.txt

バイナリ投稿されていないと同じ正確なmd5sums一致しない。しかし、ファイルのサイズのスポットです。また、同じ特徴。すなわち、バイナリに見えるが、まだ壊れては、 Linuxカーネルがロードされる：

---
[ホストbadfiles @ badfile ] $ readelfは、 。 /マウント
のELFヘッダ：
マジック：ビル7F 45 4c 46 00 00 00 00 00 00 00 00 00 00 00 00
クラス：なし
データ：なし
バージョン： 0
のOS / ABIを：のUNIX - System Vの
ABIがバージョン： 0
タイプ：実行（実行ファイル）
マシン：インテル80386
バージョン：は0x1
エントリポイントアドレス： 0x1df26054
スタートプログラムヘッダ：ファイルに52 （バイト）
スタートセクションヘッダー：ファイルに0 （バイト）
フラグ：は0x0
このヘッダのサイズ： 52 （バイト）
プログラムヘッダのサイズ： 32 （バイト）
プログラムヘッダ数： 1
セクションヘッダのサイズ： 0 （バイト）
コードセクションヘッダ： 0
セクションのヘッダーの文字列テーブルインデックス： 0

このファイル内のセクションに分かれています。

このファイル内のセクショングループがあります。

プログラムヘッダ：
入力オフセットVirtAddr PhysAddr FileSiz MemSiz Flg揃え
負荷0x000000 0x1df26000 0x1df26000 0x8453f 0x13e000 RWE社0x1000

このファイルには動的セクションです。

このファイルには移転されています。

このファイルにはないくつろぎのセクションがあります。

このファイルのバージョン情報はありませんが見つかりました。
[ホストbadfiles @ badfile ] $ objdump - Dの。 /マウント
objdump ： 。 /マウント：ファイル形式を認識できません
[ホストbadfiles @ badfile ] $ ファイル。 /マウント
マウント：無効なクラス、無効なバイトオーダーのELF （ SYSV ）
---

straceとして、特権を持たないユーザーsysinfo 'への引数（ ） 'を1つのシステムコール詳細'0 ' 。これはエラーを返します：

---
[ホストevil_mount @ badfile ] $ strace 。 /マウント
execve （ " 。 / " 、マウント[ " 。 / "マウントする] 、 [ / * 22変数* / ] ） \u003d 0
sysinfo （ 0 ） \u003d -1 EFAULT （無効なアドレス）
---

さらに私は、バイナリに設定し、もしこれ以上の情報を得ることを分析ワークステーションから見に行く。

乾杯、
接続