Re: Frage zu chkrootkit

From: Harold Gutch <logix(at)foobar.franken.de>
Date: Sat, 28 Feb 2004 21:24:03 +0100



On Sat, Feb 28, 2004 at 02:07:53PM +0100, Manuel Stühn wrote:


> Hallo Liste.


> Nachdem ich chkrootkit (aus den Ports) auf meinem FreeBSD 5.2.1 installiert 


> hatte und es durchlaufen liess kam:


> # chkrootkit | grep INFECTED


> Checking `date'... INFECTED


> 


> Anschliessend hab ich date neugebaut und installiert. Aber date blieb 


> "infected". Auch nachdem ich date von einer 5.2.1-CD kopierte änderte sich 


> diese Meldung nicht. 


> f-prot zeigt aber nichts an...


> Was ist nun zu tun?



Sieht mir nach einem Bug in chkrootkit aus, und zwar sucht das


Programm in den zu untersuchenden Binaries nach dem regulaeren


Ausdruck "^/bin/.*sh$|bash|elite$|vejeta|\.ark", auf den


FreeBSD's "date" Kommando tatsaechlich matcht:



  > strings -a `which date` |grep ark


  $FreeBSD: src/lib/csu/i386-elf/crt1.c,v 1.12 2003/01/26 23:14:47 markm Exp $



Eigentlich sollte er aber da nur dann ein positives Ergebnis


zurueckliefern, wenn da ein ".ark" steht, das scheint ein Bug zu


sein.



> P.S.


> Wie wahrscheinlich ist das eigentlich, dass sich auf einem Privatrechner (an 


> dem nur ich arbeite), der hinter einem HW-Router (der zum WAN keine offenen 


> Ports hat) ins Internet geht, rootkits einschleichen? 


> Software installiere ich nur aus den Ports. Falls ich doch mal andere Software 


> installiere, dann immer als user (wheel) in meinem $HOME-Verzeichnis. 



Die Gefahr sollte relativ gering sein.  Theoretisch kann ein


Angreifer natuerlich ueber eine fehlerhafte Applikation die du


ausfuehrst reinkommen, bzw. dir boesen Code unterjubeln - dabei


ist er zunaechst auf deinen User beschraenkt, kann dann


allerdings von dieser Stufe aus eine Verbindung zu sich nach


aussen aufbauen, und dann ueber diese Verbindung auch von aussen


wieder reinkommen (geht mit FreeBSD Bordmitteln z.B. mit ssh).


Um ein rootkit zu installieren, benoetigt ein Angreifer aber


immer root-Rechte.  Wenn du dein System immer aktuell haeltst,


und die security-notifications Liste liest, sollte die Gefahr,


dass jemand als normaler User bei dir root-Rechte erlangt,


allerdings ziemlich gering sein.



bye,


  Harold



To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org


with "unsubscribe de-bsd-questions" in the body of the message


Received on Sat 28 Feb 2004 - 21:32:21 CET













search this site