Мы с этой проблемой, а также на RHEL4. Кто-нибудь есть идеи, как их машины были скомпрометированы изначально? Мы не хотим, чтобы открыть тот же уязвимости снова. Я прилагаются три / бен / монтировать * файлов мы обнаружили на скомпрометировано машины. Были и другие аналогичные скомпрометировано бинарники, а, например, прикосновение, basename и кошки.
-Том

Модератор записку: я только что утвердил вложений и теперь оно должно быть доступно для загрузки. Скачать его с осторожностью! Он подозревается в вредоносного ПО. --- Perderabo

Присоединенные файлы

evil_mount.tar.gz (515,7 КБ, 7 просмотров)

Наша система скомпрометирована с руткит. Мы следовали рекомендации Hookups и нашли гору двоично с тем, что выглядит как хэш строки приложил к концу. Мы не смогли найти какой-либо информации об этом в Интернете. Если у вас есть какие-либо дополнительную информацию, касающуюся этого корня комплекта, пожалуйста, сообщите нам об этом. Ваша помощь с благодарностью.

Дейзи

Это не уверен, будет то же руткит, это довольно много стандартных МО для руткита.

Эта статья полезна по вопросу очистки и сбор доказательств:
http://www.honeynet.org/challenge/re...y/evidence.txt

В Написал бинарно не точно такая же, как md5sums не совпадают. Тем не менее, размер файла на месте. Кроме того, те же характеристики. В частности, в двоичном нетерпением будет нарушена, но все загружаемые на ядре Linux:

---
[badfile @ хост badfiles] $ readelf-а. / монтирования
ELF Header:
Magic: 7F 45 4C 46 00 00 00 00 00 00 00 00 00 00 00 00
Класс: None
Данные: None
Версия: 0
OS / ABI: UNIX - System V
ABI Версии: 0
Тип: EXEC (исполняемый файл)
Машина: Intel 80386
Версия: 0x1
Отправной точкой адрес: 0x1df26054
Начало программы заголовки: 52 (байтов в файле)
Начало раздела заголовки: 0 (байтов в файле)
Флаги: 0x0
Размер этого заголовка: 52 (байт)
Размер программы заголовки: 32 (байт)
Количество программных заголовков: 1
Размер раздела заголовки: 0 (байт)
Количество заголовков разделе: 0
Раздел заголовка строки таблицы индекс: 0

Есть разделы нет в этом файле.

Есть нет раздела групп в этом файле.

Программа Заголовки:
Типы офсетных VirtAddr PhysAddr FileSiz MemSiz Flg Совместите
LOAD 0x000000 0x1df26000 0x1df26000 0x8453f 0x13e000 RWE 0x1000

Существует не динамический раздел в этом файле.

Есть не переселение в этот файл.

Есть не размотать разделы в этом файле.

Ни одна версия информации в этом файле.
[badfile @ хост badfiles] $ objdump-D. / монтирования
objdump:. / гору: Формат файла не распознан
[badfile @ хост badfiles] $ файл. / монтирования
Гора: ELF недействительными класса недействительными порядке байт (SysV)
---

Трассирование как непривилегированный пользователь показать один системный вызов на "Sysinfo () 'с аргументом'0'. Она возвращает ошибку:

---
[badfile @ хост evil_mount] $ Трассирование. / монтирования
execve ( ". / Гора", [ ". / Гора"], [/ * 22 * ВАР /]) \u003d 0
Sysinfo (0) \u003d -1 EFAULT (Бад-адрес)
---

Переход смотреть дальше в двоичном из анализа рабочей Я настройки и посмотреть, смогу ли я получить любую дополнительную информацию.

Ура,
Hookups