Avira 'LINUX/RootKIT/D' találat egy Ubuntu backupban

 ( Deacon | 2011. január 13., csütörtök - 15:48 )

Sziasztok! Nemrég készítettem mentést egy Ubuntu 8.04.4 LTS rendszerről (a fontosabb könyvtárakat egy még évekkel ezelőtt készített szkripttel bepakoltam egy tar.gz-be), aztán leszedtem a gépemre, ahonnan archiválhatom. De gondoltam, előtte mégiscsak kicsomagolom, és átnézem, van-e benne olyan, amit felesleges menteni... Aztán kicsomagolás közben szólt az Avira, hogy rootkit rejtőzik a fájlok között:

Az rkhunter és chkrootkit nem talált semmit, ellenben a "rai" könyvtárban van egy pár fájl, amiben román nyelvű szöveg is akad :S Első körben nem jutottam nyomára, mi a franc lehet ez, ha bárki útbaigazít, annak nagyon megköszönöm!

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

Node ez a go.sh mit csinál?

Idézet:
van egy pár fájl, amiben román nyelvű szöveg is akad

Ha esetleg beidezned a szoveget, esetleg az egesz szkriptet...

ilyen fájlokat találtam:

.scan.swp
97.pscan.22
mfu.txt
pass_file
ps
scan
ss
ssh-scan
vuln.txt

"go.sh" tartalma:

./ss 22 -b $1 -i eth0 -s 6
cat bios.txt |sort | uniq > mfu.txt
./ssh-scan
rm -f bios.txt

"scan" tartalma:

[...]
cat $1.pscan.22 |sort |uniq > mfu.txt
echo "${WHI}[${MAG}+${WHI}]${GRN} Incep Scannarea De User Pass ${RES}"
./ssh-scan 100
rm -rf $1.pscan.22
echo "${WHI}[+]${YEL} Aproape Ca Ai Reusit..Mai Incearca Alta Clasa.. ${RES}"
[...]

"vuln.txt":

root:marko:83.151.28.197
nicola:nicola:83.135.139.113

"ss" és "ssh-scan" bináris

ahaha :)

Idézet:
Incep Scannarea De User Pass

"Kezdem a felhasznalo jelszavanak szkenneleset (vegigprobalasat?)"

Idézet:
Aproape Ca Ai Reusit..Mai Incearca Alta Clasa..

"Majdnem sikerult.. Probalj meg egy masik (jelszo?)osztalyt is.."

Szerintem igaza van a virusolonek.

YOU HAVE BEEN PWNED DUDE!!! XD

A jó öreg ssh brute force cucc

kölcsön tudnád adni?:))))))))

--------------------------------------------
blackPanther OS v11.1 * www.blackpanther.hu

A linuxos rootkitet vagy a windowsos appot amivel megtalalta? :)

---
pontscho / fresh!mindworkz

természetesen a rootkit-et amit nem ismert az rkhunter :)) apropó, ezt le kéne jelenteni

apropó, ezt le kéne jelenteni

Akkor már csak egy apró kérdés: hová lenne a legcélszerűbb?

subscribe
----------------
http://www.youtube.com/watch?v=1stW0J7Myew