Estamos enfrentando esse problema, bem, também em RHEL4. Alguém tem uma idéia de como as suas máquinas foram inicialmente comprometido? Não queremos abrir a mesma vulnerabilidade novamente. Eu acompanha a três / bin / * montar arquivos encontramos na máquina comprometida. Havia outras similarmente comprometida binários, tais como toque, basename e gato.
-Tom

Moderador da nota: tenho apenas aprovou a penhora, pelo que agora deve estar disponível para download. Baixe-o com cuidado! É suspeito de estar malware. --- Perderabo

Attached Files

evil_mount.tar.gz (515,7 KB, 7 views)

Nosso sistema está comprometido com este rootkit. Seguimos a recomendação do Conexões e encontrou a montar binário com o que parece ser uma string hash anexado ao final. Não foi possível encontrar qualquer informação sobre este na internet. Se você tiver qualquer informação adicional referente a esta raiz kit entre em contato conosco. Sua ajuda é muito apreciada.

Daisy

Isso não é certo que será o mesmo rootkit, este é bastante normal para um rootkit PB.

Este artigo é útil em matéria de limpeza e recolha provas:
http://www.honeynet.org/challenge/re...y/evidence.txt

O binário não é postada exatamente o mesmo que md5sums não correspondem. No entanto, o tamanho do arquivo está no local. Também as mesmas características. Nomeadamente, o binário parece estar quebrado, mas ainda carregável pelo kernel do Linux:

---
[badfile @ host badfiles] $ readelf-um. / montar
ELF Header:
Magic: 7f 45 4c 46 00 00 00 00 00 00 00 00 00 00 00 00
Classe: none
Dados: nenhum
Versão: 0
OS / ABI: UNIX - Sistema V
ABI Versão: 0
Tipo: EXEC (arquivo executável)
Máquina: Intel 80386
Versão: 0x1
Entrada ponto endereço: 0x1df26054
Inicie o programa de cabeçalhos: 52 (bytes em arquivo)
Início da secção cabeçalhos: 0 (bytes em arquivo)
Bandeiras: 0x0
Tamanho do cabeçalho: 52 (bytes)
Tamanho do programa cabeçalhos: 32 (bytes)
Número de programa cabeçalhos: 1
Tamanho da secção cabeçalhos: 0 (bytes)
Número de secção cabeçalhos: 0
Secção cabeçalho string tabela índice: 0

Não existem seções neste arquivo.

Não existem grupos secção neste ficheiro.

Programa Cabeçalhos:
Tipo Offset VirtAddr PhysAddr FileSiz MemSiz Alinhar FLG
CARGA 0x000000 0x1df26000 0x1df26000 0x8453f 0x13e000 RWE 0x1000

Não há dinâmica neste arquivo.

Não existem deslocalizações neste ficheiro.

Não há desanuviar secções neste arquivo.

Nenhuma versão informação encontrada neste arquivo.
[badfile @ host badfiles] $ objdump-d. / montar
objdump:. / montagem: Formato de arquivo não reconhecido
[badfile @ host badfiles] $ arquivo. / montar
mount: invalid ELF classe inválida byte order (SYSV)
---

strace como usuário sem privilégios para mostrar uma chamada de sistema 'sysinfo () "com o argumento de'0'. Ele retorna um erro:

---
[badfile @ host evil_mount] $ strace. / montar
execve ( ". / mount", [ ". / mount"], [/ * 22 vars * /]) \u003d 0
sysinfo (0) \u003d -1 EFAULT (Bad endereço)
---

Dirigindo-se a olhar mais para o binário a partir de uma análise de trabalho tenho configuração e ver se posso chegar mais nenhuma informação.

Felicidades,
Conexões