False positive, hibás chkrootkit, vagy kompromittált gépek?

FreeBSD

A freebsd-security listára esett be ma egy levél, amelyben arról számol be a felhasználó, hogy 4.10 gépén futtatva a chkrootkit 0.43 programot az fertőzött chfn, date, és chsh binárisokat jelzett.

A programról korábban már lehetett olvasni, hogy néha félre jelez, de jobb félni mint megijedni alapon a tag letörölte a binárisokat, törölte a /usr/src-t, majd fordított egy world-öt. A rootkit ellenőrző programot futtatva az ismét fertőzöttnek jelezte a binárisokat. Volt aki visszaírt, hogy ezek false positive-ok, mert neki is fertőzött binárisokat jelzett a program a szóban forgó binárisok újrafordítása után.

Volt olyan listatag is aki már feltört FreeBSD mirrorokon gondolkozott.

Teszt jelleggel lefuttattam a chkrootkit-et az egyik FreeBSD 5.2.1-RELEASE gépemen, és nekem is jelzett a date binárisra:

su-2.05b# ./chkrootkit

ROOTDIR is `/'

Checking `amd'... not infected

Checking `basename'... not infected

Checking `biff'... not infected

Checking `chfn'... not infected

Checking `chsh'... not infected

Checking `cron'... not infected

Checking `date'... INFECTED

Checking `du'... not infected

[...]

Később az egyik tag írta, hogy bugreportolt a chkrootkit szerzőjének, aki megerősítette a bugot és ígéretet tett a javításra.

Azért továbbra is jobb félni, mint megijedni....

( handler | 2004. 08. 18., sze – 22:29 )

Attol hogy nem vagy paranoid meg nem biztos, hogy nem kovetnek ! :)

( Zahy v | 2004. 08. 18., sze – 22:36 )

Azért továbbra is jobb félni, mint megijedni....

Azért szerintem Te is tudod, hogy a chkrootkit legalább fél éve, de inkább régebb óta ad fals pozitív riportokat FreeBSD rendszereken, lévén rendszeresen visszatérő kérdés pl. a FreeBSD-security-listán. De itt egy teszt:

a) előveszel egy Live-CD-t (ez lehet FreeSBIE, vagy akár a hivatalos CD-készlet második (un. helyreállító) CD-je), és azzal indítva a gépet letesztelni a gépben levő diszken levő dolgokat -, ahogy maga a chkrootkit oldalán levő FAQ is írja.

b) Lehet magát azt a Live-CD-t leellenőrizni, és ha arra is hibát ad, háááát ...

Persze abból kiindulva, amit írtál is a feltört mirrorokról, már az is lehet, hogy verziók óta rootkites FBSD szerverek és munkaállomások ezrei, milliói élnek szerte a világban :-)

>Persze abból kiindulva, amit írtál is a feltört mirrorokról, már az is lehet, hogy verziók óta rootkites FBSD szerverek és munkaállomások ezrei, milliói élnek szerte a világban :-)

Nem hiszem, hogy errol van szo. Egy dolog miatt emeltem ki ezt, megpedig azert, ha valaki chkrootkit-et futtat es ilyet talal, akkor azert ne vegye szentirasnak. BTW: meg soha nem futtattam FreeBSD-n chkrootkit-et.

( Zahy v | 2004. 08. 18., sze – 22:56 )

Ja, az előbb elfelejtettem:

egy fertőzött gépen "make world" -öt nyomni, azért ez súlyos. Látszik, hogy a pasi nem mozog nagyon otthon ebben a témakörben. Egy másik fbsd-sec -thread-ben szerepelt a hivatkozás, nagyon örülök hogy előkerült, lévén eléggé alapmű:

megbízható-e bármi. A cikkben Ken Thompson (ő is az "ismerni kéne a nevét" kategóriába tartozik!) írja le, hogy erőszakolta meg az egyik korai UNIX-verzióban levő C-fordítót, hogy az a login program fordításakor backdoort helyezzen el benne: http://www.acm.org/classics/sep95/ [www.acm.org]