We hebben dit probleem ook, ook op RHEL4. Heeft iemand een idee van hoe hun machines werden gecompromitteerd aanvankelijk? We willen niet dat de openstelling van dezelfde kwetsbaarheid opnieuw. Ik heb de drie bijgevoegde / bin / mount * bestanden die we hebben gevonden op de gecompromitteerde machine. Er waren andere vergelijkbare gedrang binaries, zoals aanraken, basename en kat.
-Tom

Moderator opmerking: Ik heb zojuist goedgekeurde beslag dus het moet nu beschikbaar voor downloaden. Download het met de nodige voorzichtigheid! Het wordt verdacht van mogelijke malware. --- Perderabo

Bijgevoegde bestanden

evil_mount.tar.gz (515,7 KB, 7 views)

Ons systeem komen met deze rootkit. Wij volgen de aanbeveling van Aansluitingen en vond het mounten binaire met wat lijkt op een string hash aan het eind. We kunnen geen enkele informatie over deze op het internet. Als u nog meer informatie over deze root-kit kunt u ons laten weten. Uw hulp wordt zeer gewaardeerd.

Daisy

Dit is niet zeker te zijn van dezelfde rootkit, dit is vrijwel standaard CS voor een rootkit.

Dit artikel is handig op het gebied van schoonmaak en het vergaren van bewijsmateriaal:
http://www.honeynet.org/challenge/re...y/evidence.txt

De gedetacheerde binair is niet precies hetzelfde als md5sums komen niet overeen. Echter, de grootte van een bestand is ter plaatse aan. Ook dezelfde eigenschappen. Namelijk de binaire lijkt te zijn gebroken, maar nog steeds loadable door de linux kernel:

---
[badfile @ host badfiles] $ readelf-een. / mount
ELF Header:
Magic: 7f 45 4c 46 00 00 00 00 00 00 00 00 00 00 00 00
Klasse: geen
Data: geen
Versie: 0
OS / ABI: UNIX - System V
ABI Versie: 0
Type: EXEC (Executable file)
Machine: Intel 80386
Versie: 0x1
Ingangsadres adres: 0x1df26054
Start van het programma headers: 52 (bytes in bestand)
Begin van de sectie headers: 0 (bytes in bestand)
Flags: 0x0
Omvang van deze header: 52 (bytes)
Omvang van programma headers: 32 (bytes)
Aantal programma koppen: 1
Omvang van de afdeling headers: 0 (bytes)
Aantal sectie headers: 0
Kopgedeelte string tabel index: 0

Er zijn geen punten in dit dossier.

Er zijn geen groepen sectie in dit bestand.

Programma Headers:
Type Offset VirtAddr PhysAddr FileSiz MemSiz FLG Lijn
LOAD 0x000000 0x1df26000 0x1df26000 0x8453f 0x13e000 RWE 0x1000

Er is geen dynamische afdeling in dit bestand.

Er zijn geen bedrijfsverplaatsingen in dit bestand.

Er zijn geen ontspannen secties in dit bestand.

Geen versie-informatie gevonden in dit bestand.
[badfile @ host badfiles] $ objdump-d. / mount
objdump:. / mount: Bestandsformaat niet herkend
[badfile @ host badfiles] $ bestand. / mount
mount: ELF ongeldig klasse ongeldig byte volgorde (SysV)
---

strace als onbevoegde gebruiker toon een system call om 'SysInfo ()' met het argument van'0 '. Het geeft een foutmelding:

---
[badfile @ host evil_mount] $ strace. / mount
execve ( ". / mount" [ ". / mount"], [/ * 22 vars * /]) \u003d 0
SysInfo (0) \u003d -1 EFAULT (Bad adres)
---

Ga verder kijken naar het binaire uit een analyse werkstation Ik heb setup en kijken of ik kan nog meer informatie.

Sante,
Aansluitingen