Vi har denne problem også, også på RHEL4. Har noen en ide om hvordan deres maskiner var kompromittert i utgangspunktet? Vi ønsker ikke å åpne opp den samme sårbarheten igjen. Jeg har lagt ved tre / bin / mount * filer vi har funnet på den kompromitterte maskinen. Det var andre tilsvarende kompromittert binærfiler i tillegg, for eksempel berøring, basename og katt.
-Tom

Moderator's note: Jeg har nettopp godkjent vedlegget, så det skal nå være tilgjengelig for nedlasting. Last den med forsiktighet! Det er mistenkt for å være malware. --- Perderabo

Vedlagte filer

evil_mount.tar.gz (515,7 KB, 7 visninger)

Systemet vårt er utsatt for denne rootkit. Vi fulgte anbefalingen fra Hookups og funnet fjellet binære med det som ser ut som en hash strengen lagt til på slutten. Vi kunne ikke finne noen infor om dette på internett. Hvis du har ytterligere informasjon om denne root kit vennligst gi oss beskjed. Din hjelp er verdsatt.

Daisy

Dette er ikke sikker på å ha samme rot, er dette stort sett standarden MO om et rootkit.

Denne artikkelen er nyttig når det gjelder opprydding og bevis innsamling:
http://www.honeynet.org/challenge/re...y/evidence.txt

Den postet binære er ikke nøyaktig lik md5sums samsvarer ikke. Imidlertid er filstørrelsen spot on. Også de samme egenskapene. Nemlig, ser det binære å bli brutt, men likevel lastbare av Linux-kjernen:

---
[badfile @ host badfiles] $ readelf-en. / mount
ELF Header:
Magic: 7f 45 4c 46 00 00 00 00 00 00 00 00 00 00 00 00
Klasse: none
Data: none
Versjon: 0
OS / ABI: UNIX - System V
ABI Version: 0
Type: Exec (kjørbar fil)
Machine: 80386 Intel
Version: 0x1
Inngangspunkt adresse: 0x1df26054
Start av programmet headers: 52 (byte i filen)
Start of section headers: 0 (bytes i fil)
Flags: 0x0
Størrelsen på denne overskriften: 52 (bytes)
Størrelsen på program headers: 32 (bytes)
Antall program hoder: 1
Size of section headers: 0 (bytes)
Antall delen hoder: 0
§ header string tabellen index: 0

Det er ingen deler i denne filen.

Det er ingen del grupper i denne filen.

Program Headers:
Type Offset VirtAddr PhysAddr FileSiz MemSiz FLG Rett
LOAD 0x000000 0x1df26000 0x1df26000 0x8453f 0x13e000 RWE 0x1000

Det er ingen drivkraft i denne filen.

Det er ingen omplasseringer i denne filen.

Det er ingen slappe av avsnittene i denne filen.

Ingen versjonen informasjon i denne filen.
[badfile @ host badfiles] $ objdump-d. / mount
objdump:. / mount: Filformatet ikke gjenkjent
[badfile @ host badfiles] $ file. / mount
mount: ELF ugyldige klasse ugyldige byte order (SysV)
---

strace som svakstilte brukere viser et system kall til 'sysinfo () "med argumentet om '0'. Det gir en feilmelding:

---
[badfile @ host evil_mount] $ strace. / mount
execve ( ". / mount", [ ". / mount"] [/ * 22 vars * /]) \u003d 0
sysinfo (0) \u003d -1 EFAULT (Bad adresse)
---

Kommer til å se lenger inn i binære fra en analyse arbeidsstasjonen jeg har oppsett og se om jeg kan få noe mer informasjon.

Skål,
Hookups