[linux] gerootkit

Faust Nijhuis faustnijhuis op xs4all.nl
Zo Apr 23 11:38:32 CEST 2006


Hallo,

Het blijkt dat mijn systeem is gerootkit.
Het begon met dat mijn fedora 4 systeem niet meer kon booten, zie mijn 
mailtje met onderwerp "na reboot, /dev leeg"
Wist toen nog niet dat ik gerootkit was. Iemand van de mail list zie wel 
dat er een mogelijkheid was dat ik gerootkit was,
maar ik draaide elke dag rkhunter en die vond niets.

Maar nu heb ik fedora 5 geinstalleerd (eerst de partitie geformateerd) 
en blijkt dat ik na enkele dagen weer gerootkit ben.
Ik werdt getriggerd door een segmentation fault van commando uname.
In file /var/log/secure vond ik de volgende regels (het is niet mijn ip 
adres):
(type het ip adres maar eens in je webbrowser)
****************************************************************************
Apr 16 17:41:21 pluto sshd[8837]: Accepted password for root from 
192.167.38.1 port 1449 ssh2
Apr 16 19:41:21 pluto sshd[8836]: Accepted password for root from 
192.167.38.1 port 1449 ssh2
*****************************************************************************

In de mail van root vond ik onderstaande gebonste mail naar 
pulica_paduraru op yahoo.com
Het blijkt dus dat root mailjes met de inhoud van shadow password file 
zit te verzenden.
***************************************************************
The original message was received at Thu, 13 Apr 2006 22:48:28 +0200
from localhost.localdomain [127.0.0.1]

   ----- Transcript of session follows -----
<pulica_paduraru op yahoo.com>... Deferred: Connection reset by yahoo.com.
Warning: message still undelivered after 4 hours
Will keep trying until message is 5 days old
unnamed

Encapsulated message
  sniff op info
From:
root <root op pluto.lan>
  To:
pulica_paduraru op yahoo.com
  Date:
2006-04-13 22:48
 
##########hostname##########
pluto.lan
10.0.0.111
##########shadow list##########
root:............
bin:............
*****************************************************************

Hoe kan ik voorkomen dat een user (root) zomaar mailtjes gaat sturen en 
hoe kan ik zien
welke mailjes er al verstuurd zijn.

Wat is een goede protectie tegen rootkits?
Wat ik toe nu toe gedaan heb is mij systeem uptodate houden  (yum) en  
elke scannen met rkhunter.

Faust





More information about the Linux mailing list