Vlákno názorů k článku
Nový rootkit útočí na webové servery od mankind_boost - "kompilován proti jádru 2.6.32–5 z Debianu Squeeze" A také...

"kompilován proti jádru 2.6.32–5 z Debianu Squeeze"

A také proto mám vlastní jádro :D Mě se zdá, že to dělal ňákej amatér. Celej ten virus vypadá jen jako nějakej vtípek.

BTW, počkejme, jak se toho chytne LO ;)

Kolikrát musíme hlasitě vykřiknout "to dělal ňákej amatér", aby ten rootkit přestal fungovat? A kdy ho začnou odhalovat antiviry? Tedy spíše kdy si začnou lidé instalovat antiviry?

Když není admin hovado, prakticky se mu to nemůže stát.

Pomůžou ti antiviry v případě cíleného útoku, což byl pravděpodobně tento případ? Nemají kde sehnat signaturu.

Antivir pomůže díky skenování streamů při síťovém spojení a skenování souborů při jejich vytváření a modifikaci. Samozřejmě jen pokud zná signaturu viru, případně pokud se strefí heuristika.

No tak to překompiluje, no.

WTF? Jak on může vědět jakej mám config pro své jádro? :-D Nehledě na to, že sem si napsal jednoduchej C program, kterej mi spocita hashe vsech /lib/*, /{,s}bin/* a /etc/* souboru. Vzhledem k tomu, ze je to muj vlastni program, tak mi to ten vir tezko odstreli :D ;)

Podle mě mu stačí trefit verzi.

Tohle je _kernel_ rootkit. Libovolný soubor může před userspace ukrýt.

To je hezké, ale jak se mi dostane do initrd? :D BTW, verzi mu nestačí trefit, kernel kontroluje svůj postfix (2.6.38-BLABLABLA) a postfix modulu. Ikdyž by to obešel, tak je dost malá šance, že by se to loadlo a necrashnulo.

Kernelový rootkit typicky hookuje volání API, která operují se soubory. Z toho důvodu váš program nejspíš neuvidí soubory vlastního root kitu, příslušné soubory v rc.d nebo řádky v nich. Dobře napsaný rootkit nelze z běžícího systému detekovat.

Ale já to mám ve vlastním initrd ;)