Hlavní navigace

Chkrootkit - užitočný pomocník na kontrolu systémov pre začiatočníkov

Milan Gigel 31. 1. 2002

Pre kontrolu inštalovaných exploitov - ktorá môže byť manuálne bez použitia prostriedkov, ako je tripwire a podobne - zdĺhavá, sú veľmi nápomocné mnohé skripty, ktoré sa touto problematikou zaoberajú. Je ich viacero, najlepšie si však vo svojom vývoji počína chkrootkit, ktorý je celkom často aktualizovaný a pracuje pomerne rýchlo.

Súčasná verzia má označenie 0.35. Nie je nezvyklé, že v nedostatočne zabezpečenom systéme sa nejaká tá chybička nájde. Jej prostredníctvom je pak možné zrealizovať prístup na vzdialený systém a nainštalovať tam rôzne služby ako sniffery a IRC boty a zároveň si ponechať zadné vrátka pre návrat do systému inštalovaním rôznych rootkitov skrytých v systéme.

Na pomoc nám teda prichádza chkrootkit, ktorý pre nás bude prostredníctvom cronu vykonávať cyklickú kontrolu existencie rootkitov, poprípade nám pomôže na kontrolu iných systémov. Základom je skript napísaný v bashi, ktorý vykoná kontrolu za pomoci awk, cut, echo, egrep, find, head, id, ls, netstat, ps, strings, sed, uname a zopár vlastných rutín napísaných v C. Súčasné kontroly zameriavajú svoju pozornosť na často menené binárky aliens, asp, bindshell, lkm, rexedcs, sniffer, wted, z2, amd, basename, biff, chfn, chsh, cron, date, du, dirname, echo, egrep, env, find, fingerd, gpm, grep, hdparm, su, ifconfig, inetd, inetdconf, identd, killall, login, ls, mail, mingetty, netstat, named, passwd, pidof, pop2, pop3, ps, pstree, rpcinfo, rlogind, rshd, slogin, sendmail, sshd, syslogd, tar, tcpd, top, telnetd, timed, traceroute, a write a následnú kontrolu existencie až 30 najznámejších rootkitov, ktoré sú pomerne populárne. Pozrime sa teda na chkrootkit bližšie.

1. Inštalácia

Aktuálnu verziu chkrootkitu nájdete ftp.pangeia.com­.br/pub/seg/pac/chkro­otkit.tar.gz alebo na jednotlivých mirroroch. Nasleduje kontrola md5 checksumu pre zabezpečenie integrity balíka, jeho následné rozbalenie a kompilácia. Pre iné platformy ako je linux si treba odkomentovať príslušné riadky v Makefile.

#md5sum -c md5
  chkrootkit.tar.gz: OK
  #tar xzvf chkrootkit.tar.gz
  #cd chkrootkit-0.35
  #make

Týmto sme uskutočnili prípravné práce a môžeme sa pustiť do používania.

2. Kontrola systému a implementácia

Pre kontrolu systému stačí jednoducho spustiť skript samotný, ktorý typicky v priebehu 10 sekúnd dokáže vykonať kontrolu systému.

#./chkrootkit

V prípade nejakých nálezov môžete vo výstupe nájsť riadky podobné nasledovným.

Checking `ifconfig'... INFECTED
Checking `ps'... INFECTED
Checking `top'... INFECTED
Checking `netstat'... INFECTED
Searching for t0rn's default files and dirs... Possible t0rn
  rootkit installed
Checking `lkm'... You have 2 process hidden for readdir command
You have 2 process hidden for ps command
Warning: Possible LKM Trojan installed
Checking `wted'... 24 deletion(s) between Fri Jan 18 12:05:51 2002 and
  Thu Jan 1 02:12:54 1970
1 deletion(s) between Tue Apr 9 00:40:38 1974 and Tue Apr 9 00:40:38 1974

Pre získanie podrobnejšieho výpisu slúži parameter -x, ktorý vypisuje celkový priebeh a jednotlivé výpisy priamo na konzolu, takže je vhodné použiť ho v súvislosti s less

#./chkrootkit  | less

Treba si však uvedomiť, že binárky používané chkrootkitom môžu byť alternované pri kontrole. Preto je možnosť použiť príkazy z alternatívneho adresára, napríklad z CD, kde nemôžu byť útočníkom zmenené a to nasledovne.

# ./chkrootkit -p /mnt/cdrom/bin

Po nájdení infikovaných bináriek stačí nahradiť ich pôvodnými z distribúcie, odstrániť doinštalované súčasti, nájsť zdroj prieniku a máme vystarané, čo bude asi najzložitejšie na celej procedúre. Avšak s pomocou tripwiru, ktorý by nemal chýbať na žiadnom systéme a vzdialeného logovania môže byť procedúra o mnoho jednoduchšia.

Viac ako osožné je prostredníctvom cronu vykonávať kontrolu denne a výsledok si nechať zasielať emailom. Zápis v /etc/crontab môže vyzerať nasledovne:

0  1 * * * root /usr/local/chkrootkit/chkrootkit 2>&1 |
    mail admin@domena.sk -s "Kontrola rootkitov"

Treba však zabezpečiť neustálu aktualizáciu skriptu, nakoľko vlastnosti sledovaných rootkitov sa menia a bez aktualizácie sa stávajú neviditeľnými. Nabudúce si ukážeme akým spôsobom efektívne pracovať s prostriedkom tripwire pre kontrolu alternovania súborov diskového systému za účelom včasného zistenia nekalých dianí na našom systéme.

Našli jste v článku chybu?

1. 2. 2002 20:25

hkmaly (neregistrovaný)

Jak to proboha muze poznat infikovanou binarku ? To uz mi pripomina slavne heuristicke analyzy v antivirovych programech ...<BR>BTW ten link na stazeni je napsany blbe.

31. 1. 2002 10:02

Pavel (neregistrovaný)

Odhali tohle i pripadne moduly/patche na kernel?

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

DigiZone.cz: NG natáčí v Praze seriál o Einsteinovi

NG natáčí v Praze seriál o Einsteinovi

DigiZone.cz: Česká televize mění schéma ČT :D

Česká televize mění schéma ČT :D

Vitalia.cz: Říká amoleta - a myslí palačinka

Říká amoleta - a myslí palačinka

Lupa.cz: Google měl výpadek, nejel Gmail ani YouTube

Google měl výpadek, nejel Gmail ani YouTube

Vitalia.cz: Chtějí si léčit kvasinky. Lék je jen v Německu

Chtějí si léčit kvasinky. Lék je jen v Německu

Lupa.cz: UX přestává pro firmy být magie

UX přestává pro firmy být magie

Podnikatel.cz: 1. den EET? Problémy s pokladnami

1. den EET? Problémy s pokladnami

Lupa.cz: Avast po spojení s AVG propustí 700 lidí

Avast po spojení s AVG propustí 700 lidí

Měšec.cz: U levneELEKTRO.cz už reklamaci nevyřídíte

U levneELEKTRO.cz už reklamaci nevyřídíte

Vitalia.cz: Baletky propagují zdravotní superpostel

Baletky propagují zdravotní superpostel

DigiZone.cz: Recenze Westworld: zavraždit a...

Recenze Westworld: zavraždit a...

DigiZone.cz: ČT má dalšího zástupce v EBU

ČT má dalšího zástupce v EBU

Podnikatel.cz: EET zvládneme, budou horší zákony

EET zvládneme, budou horší zákony

Vitalia.cz: Tesco: Chudá rodina si koupí levné polské kuře

Tesco: Chudá rodina si koupí levné polské kuře

Lupa.cz: Babiš: E-shopů se EET možná nebude týkat

Babiš: E-shopů se EET možná nebude týkat

Lupa.cz: Propustili je z Avastu, už po nich sahá ESET

Propustili je z Avastu, už po nich sahá ESET

Lupa.cz: Proč firmy málo chrání data? Chovají se logicky

Proč firmy málo chrání data? Chovají se logicky

Vitalia.cz: Láska na vozíku: Přitažliví jsme pro tzv. pečovatelky

Láska na vozíku: Přitažliví jsme pro tzv. pečovatelky

Podnikatel.cz: Víme první výsledky doby odezvy #EET

Víme první výsledky doby odezvy #EET