Nový rootkit útočí na webové servery

Počítače jsou ohrožovány

Haha!

"kompilován proti jádru 2.6.32–5 z Debianu Squeeze"

A také proto mám vlastní jádro :D Mě se zdá, že to dělal ňákej amatér. Celej ten virus vypadá jen jako nějakej vtípek.

BTW, počkejme, jak se toho chytne LO ;)

Kolikrát musíme hlasitě vykřiknout "to dělal ňákej amatér", aby ten rootkit přestal fungovat? A kdy ho začnou odhalovat antiviry? Tedy spíše kdy si začnou lidé instalovat antiviry?

Když není admin hovado, prakticky se mu to nemůže stát.

Pomůžou ti antiviry v případě cíleného útoku, což byl pravděpodobně tento případ? Nemají kde sehnat signaturu.

Antivir pomůže díky skenování streamů při síťovém spojení a skenování souborů při jejich vytváření a modifikaci. Samozřejmě jen pokud zná signaturu viru, případně pokud se strefí heuristika.

No tak to překompiluje, no.

WTF? Jak on může vědět jakej mám config pro své jádro? :-D Nehledě na to, že sem si napsal jednoduchej C program, kterej mi spocita hashe vsech /lib/*, /{,s}bin/* a /etc/* souboru. Vzhledem k tomu, ze je to muj vlastni program, tak mi to ten vir tezko odstreli :D ;)

Podle mě mu stačí trefit verzi.

Tohle je _kernel_ rootkit. Libovolný soubor může před userspace ukrýt.

To je hezké, ale jak se mi dostane do initrd? :D BTW, verzi mu nestačí trefit, kernel kontroluje svůj postfix (2.6.38-BLABLABLA) a postfix modulu. Ikdyž by to obešel, tak je dost malá šance, že by se to loadlo a necrashnulo.

Kernelový rootkit typicky hookuje volání API, která operují se soubory. Z toho důvodu váš program nejspíš neuvidí soubory vlastního root kitu, příslušné soubory v rc.d nebo řádky v nich. Dobře napsaný rootkit nelze z běžícího systému detekovat.

Ale já to mám ve vlastním initrd ;)

...nepouzivat u serveru modularni jadro!

Tak ti prepise monoliticky jadro v /boot. To si fakt pomuzes :)

Kdyz si zkompiluje vlastni monoliticke jadro a zakaze moduly ... tak neprepise nic. Cerv by si musel jadro zkompilovat nebo tam dotlacit nejake napr. z distribuce. Kazdopadne je to o hodne bezpecnejsi, nez pouzit jadro z distribuce, ktere pouziva moduly.

Tento virus samozřejmě ne, já měl na mysli podobné hrozby obecně. Prostě by PŘEPSAL to monolitické jádro. Žádný modul není třeba. Tohle není žádná ochrana před podobnými viry.

"The rootkit adds the line insmod /lib/modules/2.6.32 5-amd64/kernel/sou­nd/module_init­.ko to the /etc/rc.local script"

Na to práva nepotřebuje?

Nový rootkit útočí je bombastický titulek, ale dohromady nevíme nic.

Jak se ta věc dostane na můj server?

Je to vůbec něco nebezpečného, nebo jen jakási kuriozita, co se náhodou našla na jednom serveru?

Abych poznal, že je server nakažený, stačí se podívat do /etc/rc.local, jestli je tam "insmod /lib/modules/2.6.32-5-amd64/kernel/sou­nd/module_init­.ko"?

Když nepoužívám nginx, tak mě to nemusí zajímat?

Viz zprávička na abíčku http://www.abclinuxu.cz/zpravicky/analyza-linuxoveho-rootkitu-provadejiciho-iframe-injection

Tady jsou nějaké analýzy:

http://blog.crowdstrike.com/2012/11/http-iframe-injecting-linux-rootkit.html

https://www.securelist.com/en/blog/208193935/New_64_bit_Linux_Rootkit_Doing_iFrame_Injections

To je na tom nejvic zarazejici. Media po vsech internetech rozhlasuji, ze "rootkit utoci", ale nikde neni napsano, jak se vlastne siri (lepe receno, ze se vlastne sam nesiri). Zepta se na to pokazde asi tak jeden clovek z cele diskuse.

Az budu mit v ruce kus kodu, co mi ten virus na serveru pusti, bude teprve o cem psat. Tohle ma vyznam maximalne pokud uz vas server nekdo cracknul drive a jen si nekam poznamenal pristupove udaje :-)

Uz si od vcerejska nepamatuju jak presne to funguje, ale myslim, ze to hookovalo i casti volani readdir(".../sou­nd/") a read("/etc/rc­.local"), takze podivat se tam jen tak z potencialne napadeneho jadra nepomuze. (mozna by pomohlo namountovat svazek pres NFS, ale to je jen moje neoverena hypoteza)

Prave kvuli jeho nedokonalosti nepujde odstranit snadno. Maximalne tak deaktivovat. Viz analyzy a prepisovani private funkci.

Není root, není rootkit ;-).

Administratorkit?

jj, je to jenom otazka casu kdy jednotlive botnety zacnou valku o posledni neinfikovane kompy na netu... ;-)

Na napadení systému samozřejmě admin práva nepotřebujete. Buď použijete nějakou formu priviledge escalation, nebo prostě operujete v kontextu běžného uživatele. Pokud má malware rozesílat spam, účastnit se nějakého DDoS útoku, vykrádat dokumenty nebo je mazat, nejsou k tomu práva admina vůbec potřeba.

Neřešte něco o čem se nic neví. To že se někdo dostal do jedné nezabezpečené mašiny nic neznamená. Pokud už tam něco sedí najde se to jen po bootu z něčeho zaručeně čistého.