mc-anomália, vagy rootkit, vagy egyéb? [megoldva]

UNIX kezdő

Mai pergő világunkban már semmit sem csodálkozhatunk.
Így én sem most.

Egy ideje a /home könyvtáramban van a juzerkönyvtárak mellett egy ilyen lény:
.#a
Nevezzük inkább The Thing-nek:

a[home]$ ls /home
a b manuals

a[home]$ ls -l /home/.#a
lrwxrwxrwx 1 root root 18 dec 8 11:50 /home/.#a -> root@darkstar.4474
a[home]$

(...tehát az .#a fájl egy symlink, ami a root@darkstar4474-ra mutat, ami persze állományként nem létezik.)

Nem tudom hova rakni.
letörölni rootként SEM tudom, és biztos vagyok benne, hogy egyetlen tömörített meghajtómnak sem része.
Igazi THING. Mint a filmben.

Normálisan ki sem lehet listázni, csak ha az ls-nek megmondom, hogy Őt akarom -l paraméterrel ls-ezni.

Alapvetően nem zavar. De ha az állandóan használlt mc a mindenkori juzerkönyvtárban nyit, és onnan egy szintet fellépek, a /home könyvtárba jutok, az mc meg elémlöki a piros ablakot, hogy van ott valami, amivel nem tud mit kezdeni. Majd ha kilépek a könyvtárból és ismét visszamegyek oda, már nem szól ugyanabban a terminálfolyamatban. Nem értem.

Szerintetek ez milyen véglény, és egyáltalán milyen úton lehet elindulni biológiai tanulmányaimban?

  • 6402 megtekintés

( vector | 2012. 01. 06., p – 21:45 )

hát így hirtelen inkább egy rootkit nyomai mint mc probléma ;/

-------------------------------------------------------------------------------------------
Mit használok? Na, na, na? Hát blackPanther OS v11.1-et * www.blackpanther.hu

( stra | 2012. 01. 06., p – 21:48 )

Első nekifutásra Körülnézni a logokban december 18. 11.50 körüli időben. Ki és honnan volt bejelentkezve, volt-e ekkor webes, mailes stb. tevékenység? Ahogy vector említi, valószínűleg egy rootkit. Alapos körülnézés legyen a következő lépés.

"letörölni rootként SEM tudom"
Az lsattr mit mond rá? Sejtésem szerint egy immutable bitet (chattr -i).

Semmit sem leltem a logokban, törölve sem lettek.
Itt olvasgattam rootkitekről:
http://hup.hu/node/111
ha nekem bizonyos fájlok (pl. ifconfig, iwconfig, top, cat, ln stb.) tömörített fájlrendszeren vannak, előfordulhat, hogy azt is lecseréli valami támadó, aki pont rajtam keresztül akar bankot rabolni?

Mc üzenetét most leírom:
Can't open /dev/fd0: No such file or directory
Cannot initialize 'A:'

Ezt meg nem értem. Mintha DOS6.22-ben lennék...
Az fd0 úgy tudom floppy.
Az udev létrehozhat valami hasonló marhaságot nekem oly módon, hogy összekeveri a /dev-et a /home-mal?
Bár lehet, hogy hüje kérdés...

---
--- A gond akkor van, ha látszólag minden működik. ---
---

Már dagadt a szemem, alig látok.

holnap folytatom..

Mindenesetre:

root[rkhunter-1.3.8]# rkhunter -c
[ Rootkit Hunter version 1.3.8 ]

Checking system commands...

Performing 'strings' command checks
Checking 'strings' command [ OK ]

Performing 'shared libraries' checks
Checking for preloading variables [ None found ]
Checking for preloaded libraries [ None found ]
Checking LD_LIBRARY_PATH variable [ Not found ]

Performing file properties checks
Checking for prerequisites [ Warning ]
/usr/local/bin/links [ OK ]
/usr/local/bin/rkhunter [ Warning ]
/sbin/depmod [ OK ]
/sbin/fsck [ OK ]
/sbin/ifconfig [ OK ]
/sbin/init [ OK ]
/sbin/insmod [ OK ]
/sbin/lsmod [ OK ]
/sbin/modinfo [ OK ]
/sbin/modprobe [ OK ]
/sbin/mount [ OK ]
/sbin/nologin [ OK ]
/sbin/rmmod [ OK ]
/sbin/route [ OK ]
/sbin/runlevel [ OK ]
/sbin/sulogin [ OK ]
/sbin/sysctl [ OK ]
/usr/sbin/adduser [ OK ]
/usr/sbin/groupadd [ OK ]
/usr/sbin/groupdel [ OK ]
/usr/sbin/groupmod [ OK ]
/usr/sbin/grpck [ OK ]
/usr/sbin/inetd [ OK ]
/usr/sbin/lastlog [ OK ]
/usr/sbin/pwck [ OK ]
/usr/sbin/syslogd [ OK ]
/usr/sbin/tcpd [ OK ]
/usr/sbin/useradd [ OK ]
/usr/sbin/userdel [ OK ]
/usr/sbin/usermod [ OK ]
/usr/sbin/vipw [ OK ]
/bin/awk [ OK ]
/bin/basename [ OK ]
/bin/bash [ OK ]
/bin/cat [ OK ]
/bin/chmod [ OK ]
/bin/chown [ OK ]
/bin/chroot [ OK ]
/bin/cp [ OK ]
/bin/csh [ OK ]
/bin/cut [ OK ]
/bin/date [ OK ]
/bin/df [ OK ]
/bin/dirname [ OK ]
/bin/dmesg [ OK ]
/bin/du [ OK ]
/bin/echo [ OK ]
/bin/ed [ OK ]
/bin/egrep [ OK ]
/bin/env [ OK ]
/bin/fgrep [ OK ]
/bin/grep [ OK ]
/bin/groups [ OK ]
/bin/head [ OK ]
/bin/id [ OK ]
/bin/kill [ OK ]
/bin/killall [ OK ]
/bin/login [ OK ]
/bin/ls [ OK ]
/bin/lsmod [ OK ]
/bin/md5sum [ OK ]
/bin/more [ OK ]
/bin/mount [ OK ]
/bin/mv [ OK ]
/bin/netstat [ OK ]
/bin/ps [ OK ]
/bin/pwd [ OK ]
/bin/readlink [ OK ]
/bin/rpm [ OK ]
/bin/runcon [ OK ]
/bin/sed [ OK ]
/bin/sh [ OK ]
/bin/sha1sum [ OK ]
/bin/sha224sum [ OK ]
/bin/sha256sum [ OK ]
/bin/sha384sum [ OK ]
/bin/sha512sum [ OK ]
/bin/sort [ OK ]
/bin/stat [ OK ]
/bin/su [ OK ]
/bin/sulogin [ OK ]
/bin/tail [ OK ]
/bin/test [ OK ]
/bin/touch [ OK ]
/bin/tr [ OK ]
/bin/uname [ OK ]
/bin/uniq [ OK ]
/bin/users [ OK ]
/bin/wc [ OK ]
/bin/which [ OK ]
/bin/who [ OK ]
/bin/whoami [ OK ]
/bin/gawk-3.1.8 [ OK ]
/bin/tcsh [ OK ]
/usr/bin/awk [ OK ]
/usr/bin/basename [ OK ]
/usr/bin/bash [ OK ]
/usr/bin/cat [ OK ]
/usr/bin/chattr [ OK ]
/usr/bin/chmod [ OK ]
/usr/bin/chown [ OK ]
/usr/bin/chroot [ OK ]
/usr/bin/cp [ OK ]
/usr/bin/curl [ OK ]
/usr/bin/cut [ OK ]
/usr/bin/date [ OK ]
/usr/bin/df [ OK ]
/usr/bin/diff [ OK ]
/usr/bin/dirname [ OK ]
/usr/bin/dpkg [ OK ]
/usr/bin/dpkg-query [ OK ]
/usr/bin/du [ OK ]
/usr/bin/echo [ OK ]
/usr/bin/ed [ OK ]
/usr/bin/egrep [ OK ]
/usr/bin/elinks [ OK ]
/usr/bin/env [ OK ]
/usr/bin/fgrep [ OK ]
/usr/bin/file [ OK ]
/usr/bin/find [ OK ]
/usr/bin/fuser [ OK ]
/usr/bin/grep [ OK ]
/usr/bin/groups [ OK ]
/usr/bin/head [ OK ]
/usr/bin/id [ OK ]
/usr/bin/last [ OK ]
/usr/bin/lastlog [ OK ]
/usr/bin/ldd [ OK ]
/usr/bin/less [ OK ]
/usr/bin/locate [ OK ]
/usr/bin/logger [ OK ]
/usr/bin/ls [ OK ]
/usr/bin/lsattr [ OK ]
/usr/bin/lsof [ OK ]
/usr/bin/lynx [ OK ]
/usr/bin/md5sum [ OK ]
/usr/bin/mktemp [ OK ]
/usr/bin/more [ OK ]
/usr/bin/mv [ OK ]
/usr/bin/newgrp [ OK ]
/usr/bin/passwd [ OK ]
/usr/bin/perl [ OK ]
/usr/bin/pgrep [ OK ]
/usr/bin/ps [ OK ]
/usr/bin/pstree [ OK ]
/usr/bin/pwd [ OK ]
/usr/bin/readlink [ OK ]
/usr/bin/runcon [ OK ]
/usr/bin/sed [ OK ]
/usr/bin/sha1sum [ OK ]
/usr/bin/sha224sum [ OK ]
/usr/bin/sha256sum [ OK ]
/usr/bin/sha384sum [ OK ]
/usr/bin/sha512sum [ OK ]
/usr/bin/size [ OK ]
/usr/bin/slocate [ OK ]
/usr/bin/sort [ OK ]
/usr/bin/stat [ OK ]
/usr/bin/strace [ OK ]
/usr/bin/strings [ OK ]
/usr/bin/sudo [ OK ]
/usr/bin/tail [ OK ]
/usr/bin/test [ OK ]
/usr/bin/top [ OK ]
/usr/bin/touch [ OK ]
/usr/bin/tr [ OK ]
/usr/bin/uname [ OK ]
/usr/bin/uniq [ OK ]
/usr/bin/users [ OK ]
/usr/bin/vmstat [ OK ]
/usr/bin/w [ OK ]
/usr/bin/watch [ OK ]
/usr/bin/wc [ OK ]
/usr/bin/wget [ OK ]
/usr/bin/whatis [ OK ]
/usr/bin/whereis [ OK ]
/usr/bin/which [ OK ]
/usr/bin/who [ OK ]
/usr/bin/whoami [ OK ]
/usr/bin/gawk-3.1.8 [ OK ]
/usr/bin/perl5.12.3 [ OK ]
/usr/bin/pkill [ OK ]
/etc/rkhunter.conf [ OK ]

[Press to continue]

...aztán nézegette hátha van apacsom meg hasonló.

Holnap leellenőrzöm, ilyen sszinten voltam megint marha és hogy mekkorát tanulok belőle.

jóéjt *.*

( Czo v | 2012. 01. 07., szo – 08:57 )

Ez az mcedit lockja lesz, nem? Megnyitsz egy filet mcedit-ben, irsz bele, majd listazod egy masik terminalban a konyvtar tartalmat. Latni fogsz egy filet, .#filenev formatumban, ahol a filenev megegyezik a megnyitott file nevevel, ez egy symlink, ami a felhasznalonev@hostnev.pid -re mutat, ahol a pid, az mcedit pidje.

---
Apple iMac 20"
áéíóöőúüű

Valóban. És egy a nevű file folyamatban lévő szerkesztése esetén az mc párhuzamos indításakor jön a hibaüzenet (b nevű file esetén nem). Ha pedig megszakadt egy előző szerkesztés, ez a file ott marad, azaz ezután hibaüzenettel indul a file törléséig. Ami szintén érdekes, hogy stattal nézve rendben vannak az idők, de az mc paneljén 1970. február 26. látszik (Debian 6.0.3, mc 4.7.0.9-1).

Nos, az mc-nél érdekesebb az alábbi. Most még mindig fut a rútkitkereső, mint a vadalma.

ilyenekkel hergel:

Checking the local host...

Performing system boot checks
Checking for local host name [ Found ]
Checking for system startup files [ Found ]
Checking system startup files for malware [ None found ]

Performing group and account checks
Checking for passwd file [ Found ]
Checking for root equivalent (UID 0) accounts [ None found ]
Checking for passwordless accounts [ None found ]
Checking for passwd file changes [ None found ]
Checking for group file changes [ None found ]
Checking root account shell history files [ OK ]

Performing system configuration file checks
Checking for SSH configuration file [ Found ]
Checking if SSH root access is allowed [ Warning ]
Checking if SSH protocol v1 is allowed [ Warning ]
Checking for running syslog daemon [ Found ]
Checking for syslog configuration file [ Found ]
Checking if syslog remote logging is allowed [ Not allowed ]

na meg ilyennel is:

Performing trojan specific checks
Checking for enabled inetd services [ Warning ]
Checking for Apache backdoor [ Not found ]

Ez azt jelenti, hogy köthetem a hurkot a csillárra?

---
--- A gond akkor van, ha látszólag minden működik. ---
---

Én nem ismerem ezt a toolt - meg majd kapok az orromra, ha hülyeséget írok - de szerintem még várj a kötéllel. Én ezekben semmi olyat nem látok, hogy lenne valami kártevőd. Csak annyit, hogy létezik hostneved, vannak startup file-jaid (amikben nem talált malware-t), figyelmeztet, hogy az ssh-ban nincs letiltva a root hozzáférés, fut a syslog daemon stb. Az hogy pld. fut az inetd még nem jelenti, hogy van valami vackod, mert sok minden normális dolgot is indíthat (asszem pld. a SAMBA SWAT-ja is onnan megy (FIXME!) ), de azért annak utána lehet nézni, hogy miket indít.

Ne kattints ide!

Igen, nézegetem az időközben keletkező log fájlt, abban bőbeszédűbb ez a herkentyű. aztán nézegetem még a doksijait ha tallok.
http://rkhunter.cvs.sourceforge.net/viewvc/rkhunter/rkhunter/files/FAQ

Ha az mc nem szórakozik, a rootkitről nem is hallok. Olyan ez, mint egy új testrész felfedezése 40-en, 50-en túl. A rootkit ekvivalens az aranyérrel.
Mentem tovább tanulmányozni ezeket...

---
--- A gond akkor van, ha látszólag minden működik. ---
---

Ez nagyjából azt sugallja, amire Czo és Fisher rámutatott, hogy jó eséllyel mégsem egy romantikus rootkit áll a háttérben, hanem jó eséllyel valamikor december 18-án szerkesztettél egy /home/a nevű file-t, és az félbeszakadt (pl. áramszünet). A lockfile maradt, az mc meg valószínűleg a fent linkelt bug miatt félreértelmezi, és hibaüzenetet ad. Ha ez a helyzet, töröld le a file-t, és rendben van. Ha már ennyi ideig futott a keresés, akkor hagyd végigmenni, de vélhetőleg tényleg csak az mcedit által ott hagyott ideiglenes file.

Igen, tiszta is, hogy ez biztosan nem rootkit.
A szerkesztett fájl egy könyvtár, a fő usernevem egyike az "a", és így értelemszerűen egy könyvtárnév a /home-ban az "a".
Így bonyolultabb.

A cucc lefutott közben, korrekt kiértékelés, log file egyértelműbb, mint a menet közbeni monitorozás:

System checks summary
=====================

File properties checks...
Required commands check failed
Files checked: 183
Suspect files: 1

Rootkit checks...
Rootkits checked : 254
Possible rootkits: 0

Applications checks...
Applications checked: 5
Suspect applications: 1

The system checks took: 77 minutes and 4 seconds

All results have been written to the log file (/var/log/rkhunter.log)

One or more warnings have been found while checking the system.
Please check the log file (/var/log/rkhunter.log)

root[/var/log]#

...most már azt is tudom, hogy ilyen is van. A suspect-re mondjuk kiírhatta volna, mi büdös neki, így gyomlálnom kell a logban.

( ironcat | 2012. 01. 07., szo – 12:09 )

Egy nem túl lényeges észrevétel (az ügy szempontjából):

Az ls azért nem listázza a kérdéses fájlt, mert a dottal (.) kezdődő fájlok rejtett fájlok. Ezeket az "ls -a" paranccsal tudod listázni, vagy -- mint te is tetted -- a teljes nevük megadásával. Esetleg a -A paraméter is jó erre. Troll on: a "man ls"-nél az első két paraméter. :-)

-----
A kockás zakók és a mellészabások tekintetében kérdezze meg úri szabóját.

Csodálatos dolog történt.

Nem indítottam az mc-t, bash-ban az
ls -a
valóban minden a fenét kilistáz, a rejtetteket is, melyek ponttal kezdődnek.
Ezután már ki tudtam adni az rm-met és töröltem a symlinket.

mc indít, nem rinyál, fut.

Már csak az az egy "gyanúsnak" ítélt valami frusztrál, amit a rútkitkereső talált.

Kösz, hogy felnyitottad a szememet az ifconfignál is működő
-a
paraméterrel kapcsolatosan
:)

---
--- A gond akkor van, ha látszólag minden működik. ---
---