Rootkit Sorusu

[FeNDeR]

Selamlar. Chkrootkit ve rkhunter programları ile ayrı ayrı yaptığım rootkit taramalarının sonucunda şüpheli bazı dosya ve klasörlere rastladım. Sonuçlar şu şekilde:

chkrootkit sonuçları:
The following suspicious files and directories were found:

/usr/lib/jvm/.java-6-sun.jinfo
/usr/lib/jvm/java-6-sun-1.6.0.06/.systemPrefs
/usr/lib/xulrunner-1.9.0.1/.autoreg
/usr/lib/firefox-3.0.1/.autoreg
/lib/modules/2.6.24-19-generic/volatile/.mounted

eth0: PACKET SNIFFER(/sbin/dhclient3[4165])

rkhunter sonuçları:
Warning: Hidden directory found: /etc/.java
Warning: Hidden directory found: /dev/.static
Warning: Hidden directory found: /dev/.udev
Warning: Hidden directory found: /dev/.initramfs

Bu sonuçlara göre bilgisayarımın güvenliği ile ilgili olarak ne söylenebilir? Tehlikeli bir durum söz konusu mu?
Teşekkür ederim.

[atomkarinca]

Bir sıkıntı görülmüyor. Normal dosyalar.

[FeNDeR]

Anladım. Teşekkürler.

[polken]

rkhunter sonuçları:
Warning: Hidden directory found: /etc/.java
Warning: Hidden directory found: /dev/.static
Warning: Hidden directory found: /dev/.udev
Warning: Hidden directory found: /dev/.initramfs

Bende bunlara ek olarak uyarılar da çıktı.Bu sonuçlar normal mi acaba?

Kod Seç Genişlet


[19:00:07] /bin/mount                                        [ Warning ]
[19:00:07] Warning: The file properties have changed:
[19:00:07]          File: /bin/mount
[19:00:07]          Current hash: c78185c73157559940629864b0b12cecee88034a
[19:00:07]          Stored hash : c7f1f9e24c9b307ed0a095be2fcb425b02f1605b
[19:00:07]          Current inode: 254001    Stored inode: 253956
[19:00:07]          Current size: 81220    Stored size: 81368
[19:00:07]          Current file modification time: 1193546778
[19:00:07]          Stored file modification time : 1209470261

[19:00:09] /usr/bin/chattr                                   [ Warning ]
[19:00:09] Warning: The file properties have changed:
[19:00:09]          File: /usr/bin/chattr
[19:00:09]          Current inode: 817005    Stored inode: 811129

[19:00:11] /usr/bin/lsattr                                   [ Warning ]
[19:00:11] Warning: The file properties have changed:
[19:00:11]          File: /usr/bin/lsattr
[19:00:11]          Current inode: 817006    Stored inode: 811645

[19:00:15] /usr/bin/gawk                                     [ Warning ]
[19:00:15] Warning: The file '/usr/bin/gawk' exists on the system, but it is not present in the rkhunter.dat file.

[19:00:19] /usr/sbin/unhide-linux26                          [ Warning ]
[19:00:19] Warning: The file '/usr/sbin/unhide-linux26' exists on the system, but it is not present in the rkhunter.dat file.

[19:00:52]   Checking for group file changes                 [ Warning ]
[19:00:52] Warning: Groups have been added to the group file:
[19:00:52]          winbindd_priv:x:128:

[19:01:02]   Checking /dev for suspicious file types         [ Warning ]
[19:01:02] Warning: Suspicious file types found in /dev:
[19:01:02]          /dev/shm/pulse-shm-2070625324: data



[yücel varlik _paco_]

arkadaslar makineleriniz desktop ise hic korkmaya gerek yok. sadece serveriniz var ise rootkit felan sakincali olabiliyor. 4-5 saat acik olan makine rootkit kuranin nekadar isine yararki. su windowstan gelen virus trojen vs. korkularini yenin artik. bana bikere girmislerdi oda serverimde. ssh-scan ve baska bisey kurmus herif. onlarda paso segmentation fault veriyordu. "dmesg" komutu ve "ps fax" komutlariyla neler olmus neler calisiyor diye bakiyorum. okadar. firestarter + antivirusler i kurmak sadece cpu+ram yer bi ise yaramaz, yavaslatir.

[heartsmagic]

Rootkit gibi uygulamaların tek sıkıntısı Zombi olmak diye düşünüyorum. Hoş henüz Linux altında pek zombiye rastlamadım ancak eğer olacaksa en büyük amaç bu olabilir. Zira günümüzde çok tutulan bir yol bu.

[FeNDeR]

Birkaç kere altta zombi olarak çalışan programa denk geldim. Bir tanesi firefox idi. Hatırladığım kadarıyla java açıkken bu durum olmuştu. Online oyun oynuyordum sanıyorum. Bir de amsn olabilir. Ancak tam olarak emin değilim. Zombi konusunda daha derinlemesine bilgi verebilir misiniz? Yani bilgisayarda nasıl oluşabilir, ne gibi zararları olur, oluşmaması için ne yapmak lazım, vs.. Teşekkürler
Not: Bu arada ev kullanıcısı olduğumu hatırlatmak isterim. Yani server ile ilgili değilim.

[foma]

@Fender o zombi başka zombi, korkmana gerek yok.Sende oluşan zombileri sağ tıklayıp işlemi sonlandır diyebilirsin.Bilgisayar donmadıysa kendiliğinden de kapanır zaten onlar.

[FeNDeR]

Anladım. Peki bendekiler niye oluşuyor? Bir çeşit program hatası mı?

[heartsmagic]

Evet bir çeşit program hatası diyebiliriz. Bazen cevap vermeyen programlar zombi durumuna düşer. Benim söylediğim zombi @foma'nın da belirttiği üzere farklı bir şey. Kısacası sisteme kurulan bazı uygulamalar sayesinde sizin sisteminiz bir çeşit zombi oluyor. Bu programları yöneten insanlar istedikleri bir anda sizin gibi milyonlarcasını tek hamlede istedikleri hedefe saldırtabiliyorlar. Yanlış hatırlamıyorsam Estonya geçenlerde bir saldırı aldı ve tüm devlet dairleri ile ilgili siteleri düştü. Orada olan saldırıda milyonlar ile belirlenen sayılar vardı ve hatırı sayılır bir kısmı Türkiyedendi. Ancak daha önce söylediğim gibi Linux üzerinde pek görmedim bunu. Windows ise malumumuz

[FeNDeR]

Evet. 10 yıldan fazladır pc kullanıyorum. 10 yıl windows ile geçti. "Fazladır" kısmı ise linux ile... Yani yaklaşık 5-6 ay. Çok memnunum ubuntu kullanmaktan. Konumuza dönecek olursak, zombiler cevap vermeyen programlardır, ok. Dert edilecek bir şey değil. Ancak kötü niyetli kullanıcılara hizmet eden zombi bilgisayarların içinde az da olsa linux ve mac'lerin de olduğu yazıyordu birkaç saat önce okuduğum bir yazıda. Yazı doğru da olmayabilir ama diyelim ki doğru, bu nasıl mümkün olabilir? Güvenilmeyen kaynaklardan gelen kodları çalıştırdığımızda olabilir ancak sanıyorum. Bunu merak etmiştim. Bu da basitçe netstat veya nmap ile anlaşılır sanıyorum.

[heartsmagic]

Evet güvenilmeyen kaynaklardan gelen betikler vs. ile olabilir. Ancak ben pek etrafta rastlamadım, yazının kaynağı var mı? Gerçi olmaz diye bir şey yok fakat yaygın değildir. Ayrıca tespit doğru netstat gibi programlarla hangi uygulama, hangi porttan nasıl dinliyor diye kaba bir tespit yapılabilir sanırım.

[FeNDeR]

Yazı 2007 yılına ait. Şurada okumuşum: http://www.webvadisi.com/zombi-saldirisi-yayiliyor-t-35796.html   
Burada kaynak yok ama buldum: http://www.nytimes.com/2007/01/07/technology/07net.html

[heartsmagic]

Evet çoğunlukla Windows olsa da Linux ve Mac'de de görülüyor demiş. Mümkün tabi, sonuçta uygun yazılım olursa ve kurban bir şekilde kurarsa neden olmasın. Kaynak için teşekkürler. Biz dikkatli olalım, güvenmediğimiz yerlerden uygulama kurmamaya özen gösterelim, sağda solda geçen komutları, özellikle wget içeriyorsa, kullanmayalım.

[FeNDeR]

Rica ederim. Bir faydam dokunmuşsa ne ala... Ben her geçen gün yeni bir şey öğrenmekteyim. Demek ki wget komutuna da dikkat edeceğiz bundan sonra.

[heartsmagic]

wget bir dosya indirme aracıdır, normalde zarar gelmez
Ancak internette gördüğümüz güvenli olmayan bir yerdeki:

Kod Seç Genişlet

wget http:/falanca.com/dosya ; sh dosya gibi bir komutu root hakları ile vermemiz istenmedik şeylere neden olabilir. Fakat Linux dünyasında bu tip paylaşımlar çoktur. Örneğin birisi bir sürücü için betik yazmıştır forumlarda paylaşır. Zaten onun içeriği bellidir, asıl önemli olan içeriğini anladmadığınız betiklerdir. Çok paranoyak olmaya lüzum yok ancak tedbiri elden bırakmamak lazım.

[FeNDeR]

Elbette. Temkinli olmakta fayda var.

[FeNDeR]

Ustalara saygı kuşağında bu gece yeni bir rkhunter taraması var. Çok yeni yaptığım bir tarama sonucunu aşağıda görüşlerinize açıyorum. Öncelikle naçizane bir şey söylemek istiyorum. /bin/su , /bin/login , /usr/bin/passwd gibi dosyaları şüpheli görmesinin sebebi sanıyorum geçtiğimiz günlerdeki login, password güncellemeleri yüzünden. Ancak epey şüpheli dosya çıktı. Özellikleri değişmiş dosyalar demek daha doğru olacak. Bunlar dışında başka birşey yok. Ne rootkit, ne malware vs.. Neyse, ben sözü daha fazla uzatmadan kodu yapıştırayım:

Kod Seç Genişlet

[22:17:11] /bin/login                                        [ Warning ]
[22:17:11] Warning: The file properties have changed:
[22:17:11]          File: /bin/login
[22:17:11]          Current hash: 1869895965de0ebab025e5b76ccfe7ff3b53905b
[22:17:11]          Stored hash : 0ba3a17f19a617036f9aa21d064109f1834eb46f
[22:17:11]          Current inode: 693270    Stored inode: 690935
[22:17:11]          Current file modification time: 1226559073
[22:17:11]          Stored file modification time : 1207184931

[22:17:11] /bin/lsmod                                        [ Warning ]
[22:17:11] Warning: The file properties have changed:
[22:17:11]          File: /bin/lsmod
[22:17:11]          Current hash: be5bd1d2d0e00b4f999cacaa0e47a75db7431976
[22:17:11]          Stored hash : 56f23aee856a79d9bfe663303945cf700323951b
[22:17:12]          Current inode: 693198    Stored inode: 690937
[22:17:12]          Current size: 3952    Stored size: 4344
[22:17:12]          Current file modification time: 1223297493
[22:17:12]          Stored file modification time : 1203974432

[22:17:14] /bin/su                                           [ Warning ]
[22:17:14] Warning: The file properties have changed:
[22:17:14]          File: /bin/su
[22:17:14]          Current hash: b117a530960f3c0799d45f0927d77b0ab2b2565c
[22:17:14]          Stored hash : b43226dc595ed6a1ae327c99bc654c57818a39f3
[22:17:14]          Current inode: 693280    Stored inode: 690985
[22:17:14]          Current file modification time: 1226559073
[22:17:14]          Stored file modification time : 1207184931

[22:17:16] /usr/bin/chattr                                   [ Warning ]
[22:17:16] Warning: The file properties have changed:
[22:17:16]          File: /usr/bin/chattr
[22:17:16]          Current inode: 477216    Stored inode: 476783

[22:17:19] /usr/bin/lastlog                                  [ Warning ]
[22:17:19] Warning: The file properties have changed:
[22:17:19]          File: /usr/bin/lastlog
[22:17:19]          Current hash: 0e9a4b59fe69fc25f996f9fdf4b528ddaf9ee35a
[22:17:19]          Stored hash : 0eab32dae60ceaf930444b18c60aaa62ba9f56ab
[22:17:19]          Current inode: 474872    Stored inode: 472003
[22:17:19]          Current file modification time: 1226559073
[22:17:19]          Stored file modification time : 1207184931

[22:17:20] /usr/bin/lsattr                                   [ Warning ]
[22:17:20] Warning: The file properties have changed:
[22:17:20]          File: /usr/bin/lsattr
[22:17:20]          Current inode: 477220    Stored inode: 476938

[22:17:21] /usr/bin/newgrp                                   [ Warning ]
[22:17:21] Warning: The file properties have changed:
[22:17:21]          File: /usr/bin/newgrp
[22:17:21]          Current hash: b390b42841db450e5d340afba2b0f40ef632bb06
[22:17:21]          Stored hash : 6ae609ac7308831c972ff6b1fa9dee52f7c8a407
[22:17:21]          Current inode: 474873    Stored inode: 472116
[22:17:21]          Current file modification time: 1226559073
[22:17:22]          Stored file modification time : 1207184931

[22:17:22] /usr/bin/passwd                                   [ Warning ]
[22:17:22] Warning: The file properties have changed:
[22:17:22]          File: /usr/bin/passwd
[22:17:22]          Current hash: f179728064beb932d3c0f2372a4525d8caffabf1
[22:17:22]          Stored hash : 20a8865a6833bc3e1decabc8c52baf392ca880b7
[22:17:22]          Current inode: 475894    Stored inode: 472178
[22:17:22]          Current file modification time: 1226559071
[22:17:22]          Stored file modification time : 1207184929

[22:17:28] /sbin/depmod                                      [ Warning ]
[22:17:28] Warning: The file properties have changed:
[22:17:28]          File: /sbin/depmod
[22:17:28]          Current hash: 203ea97ff492f25e275bfb0d73bae82fa9b834eb
[22:17:28]          Stored hash : 6ca5c21e2f3a78105f0b9609f85fcd23e2bdc3fb
[22:17:28]          Current inode: 73459    Stored inode: 503958
[22:17:28]          Current size: 31448    Stored size: 45216
[22:17:28]          Current file modification time: 1223297493
[22:17:28]          Stored file modification time : 1203974432

[22:17:29] /sbin/insmod                                      [ Warning ]
[22:17:29] Warning: The file properties have changed:
[22:17:30]          File: /sbin/insmod
[22:17:30]          Current hash: d0f772ef77188de05edc0076c350e25474eb2450
[22:17:30]          Stored hash : 014396614120829f88a0c82610c13144d8d2c02e
[22:17:30]          Current inode: 73456    Stored inode: 503991
[22:17:30]          Current size: 4632    Stored size: 5740
[22:17:30]          Current file modification time: 1223297493
[22:17:30]          Stored file modification time : 1203974432

[22:17:30] /sbin/lsmod                                       [ Warning ]
[22:17:30] Warning: The file properties have changed:
[22:17:30]          File: /sbin/lsmod
[22:17:30]          Current hash: be5bd1d2d0e00b4f999cacaa0e47a75db7431976
[22:17:30]          Stored hash : 56f23aee856a79d9bfe663303945cf700323951b
[22:17:30]          Current inode: 73462    Stored inode: 504026
[22:17:30]          Current file modification time: 1226492393
[22:17:30]          Stored file modification time : 1217128435

[22:17:31] /sbin/modinfo                                     [ Warning ]
[22:17:31] Warning: The file properties have changed:
[22:17:31]          File: /sbin/modinfo
[22:17:31]          Current hash: a04124962db6deecf777ddc35f93b02ec60992e6
[22:17:31]          Stored hash : 313a170da05a5ee9d10e46967f1f472275b46b53
[22:17:31]          Current inode: 73460    Stored inode: 504045
[22:17:31]          Current size: 8652    Stored size: 10872
[22:17:31]          Current file modification time: 1223297493
[22:17:31]          Stored file modification time : 1203974432

[22:17:31] /sbin/modprobe                                    [ Warning ]
[22:17:31] Warning: The file properties have changed:
[22:17:31]          File: /sbin/modprobe
[22:17:31]          Current hash: da098e64bfe6f64850e49eafa7c46220a52564ca
[22:17:31]          Stored hash : 1fb9823287322bf64584b77d4a91ebf59c74e75a
[22:17:31]          Current inode: 73457    Stored inode: 504046
[22:17:31]          Current size: 19876    Stored size: 26860
[22:17:31]          Current file modification time: 1223297493
[22:17:31]          Stored file modification time : 1203974432

[22:17:32] /sbin/rmmod                                       [ Warning ]
[22:17:32] Warning: The file properties have changed:
[22:17:32]          File: /sbin/rmmod
[22:17:32]          Current hash: 97de214a061471c80c6ebc9b6cdd0caf77d3467a
[22:17:32]          Stored hash : 45a718f89bdf296e3f68fd4a1a5debd2305cf040
[22:17:32]          Current inode: 73458    Stored inode: 504069
[22:17:32]          Current size: 6672    Stored size: 7800
[22:17:32]          Current file modification time: 1223297493
[22:17:32]          Stored file modification time : 1203974432

[22:17:34] /usr/sbin/groupadd                                [ Warning ]
[22:17:34] Warning: The file properties have changed:
[22:17:34]          File: /usr/sbin/groupadd
[22:17:34]          Current hash: 477b044b080307e7110931d24cb61b5201c17f97
[22:17:34]          Stored hash : 8c65b4fa152403c4326235f21378e50a1e683213
[22:17:34]          Current inode: 477466    Stored inode: 475873
[22:17:34]          Current file modification time: 1226559071
[22:17:34]          Stored file modification time : 1207184929

[22:17:34] /usr/sbin/groupdel                                [ Warning ]
[22:17:35] Warning: The file properties have changed:
[22:17:35]          File: /usr/sbin/groupdel
[22:17:35]          Current hash: 7532594441e37b5f0f29f56c17a0b02f549378fb
[22:17:35]          Stored hash : 4568ef7a47ec854346693bc9c443e33a5eb3892e
[22:17:35]          Current inode: 477468    Stored inode: 475874
[22:17:35]          Current file modification time: 1226559071
[22:17:35]          Stored file modification time : 1207184929

[22:17:35] /usr/sbin/groupmod                                [ Warning ]
[22:17:35] Warning: The file properties have changed:
[22:17:35]          File: /usr/sbin/groupmod
[22:17:35]          Current hash: e7b597de8c3908cc57f6efa5ce9b64d22de8d7f2
[22:17:35]          Stored hash : c71899fb8b33369f9e925605b7ae29a189906434
[22:17:35]          Current inode: 477469    Stored inode: 475875
[22:17:35]          Current file modification time: 1226559071
[22:17:35]          Stored file modification time : 1207184929

[22:17:35] /usr/sbin/grpck                                   [ Warning ]
[22:17:35] Warning: The file properties have changed:
[22:17:35]          File: /usr/sbin/grpck
[22:17:35]          Current hash: 2306ec310243a6373bbfae4b5766249eb447531e
[22:17:35]          Stored hash : 073f3ab3b22dfda04504d181860fd2e66edc12fe
[22:17:36]          Current inode: 477490    Stored inode: 475876
[22:17:36]          Current file modification time: 1226559071
[22:17:36]          Stored file modification time : 1207184929

[22:17:36] /usr/sbin/nologin                                 [ Warning ]
[22:17:36] Warning: The file properties have changed:
[22:17:36]          File: /usr/sbin/nologin
[22:17:36]          Current hash: 9bbf3d62e73e273205566d9c0adacb8f99ee7e16
[22:17:36]          Stored hash : d9d18f4d6e8b40d57862f9382358a4d20fcf6a55
[22:17:36]          Current inode: 473737    Stored inode: 475927
[22:17:36]          Current file modification time: 1226559073
[22:17:36]          Stored file modification time : 1207184931

[22:17:37] /usr/sbin/pwck                                    [ Warning ]
[22:17:37] Warning: The file properties have changed:
[22:17:37]          File: /usr/sbin/pwck
[22:17:37]          Current hash: b66902bf63f58296ed1552c0a984b7108b226b5a
[22:17:37]          Stored hash : d11a05836045f59670841b6531e553a935ba0235
[22:17:37]          Current inode: 477494    Stored inode: 475952
[22:17:37]          Current file modification time: 1226559071
[22:17:37]          Stored file modification time : 1207184929

[22:17:37] /usr/sbin/useradd                                 [ Warning ]
[22:17:37] Warning: The file properties have changed:
[22:17:37]          File: /usr/sbin/useradd
[22:17:38]          Current hash: 6d75aebe0444c6a0e39793d2e0323bcc2027273a
[22:17:38]          Stored hash : e0e00bf0bd68661db64972c54d62809080728130
[22:17:38]          Current inode: 477946    Stored inode: 476015
[22:17:38]          Current file modification time: 1226559071
[22:17:38]          Stored file modification time : 1207184929

[22:17:38] /usr/sbin/userdel                                 [ Warning ]
[22:17:38] Warning: The file properties have changed:
[22:17:38]          File: /usr/sbin/userdel
[22:17:38]          Current hash: 08d1f0c6659c24764a8642e698850a74ac5cb217
[22:17:38]          Stored hash : c15911f163493ad4de89372ca6b5d934b0f18bd8
[22:17:38]          Current inode: 477947    Stored inode: 476016
[22:17:38]          Current file modification time: 1226559071
[22:17:38]          Stored file modification time : 1207184929

[22:17:38] /usr/sbin/usermod                                 [ Warning ]
[22:17:38] Warning: The file properties have changed:
[22:17:38]          File: /usr/sbin/usermod
[22:17:38]          Current hash: f18815f79dd59839fbf96e2d31a9609c70e6742e
[22:17:38]          Stored hash : b4fe25be3974694088a89124c0a857082930efbf
[22:17:38]          Current inode: 477948    Stored inode: 476017
[22:17:38]          Current file modification time: 1226559071
[22:17:39]          Stored file modification time : 1207184929

[22:17:39] /usr/sbin/vipw                                    [ Warning ]
[22:17:39] Warning: The file properties have changed:
[22:17:39]          File: /usr/sbin/vipw
[22:17:39]          Current hash: 3a4a33ff1ea9a1c941c7ffdf6e0f2981d5cb1e2e
[22:17:39]          Stored hash : 274d9bc4478c4972f8676ab4f9cd7d7a60369349
[22:17:39]          Current inode: 477949    Stored inode: 476024
[22:17:39]          Current file modification time: 1226559071
[22:17:39]          Stored file modification time : 1207184929


Şimdiden teşekkürlerimi sunarım.

[heartsmagic]

Yüksek ihitmalle sorun yoktur. Dediğin sebepten ötürü olması ise kuvvetle muhtemel bunların.

[FeNDeR]

Heartsmagic değil de hızırmagic desek daha iyi olacak sanıyorum:) İşin esprisi tabii... Şimdi bu sonuçlarda su, login, password gibi şeyler görünce insan ister istemez bir acaba diyor. O yüzden yollamak istedim. Diğerleri geçtiğimiz haftalarda yaptığım bir taramada da çıkmıştı karşıma. Örneğin /usr/bin/lsattr ve /usr/bin/chattr...  Ancak çoğu tahmin ediyorum yeni gelmiş. Nmap ve netstat sonuçları temiz. Şüpheli bir port yok görünürde.  Hızlı cevap için çok teşekkürler...

[heartsmagic]

Öncelikle rica ederiz. Ancak uyarıları da arada dikkate almakta fayda var. Eğer sistem güncellemesi ile değişmişse sorun yok, fakat başka türlü bir değişim söz konusuysa elbette ortada bir sorun var demektir

[FeNDeR]

Bunu saptamanın kesin bir yolu yok mu? Dosyaları, orijinallerinin md5 checksum'ı ile karşılaştırma gibi bir yöntem var sanıyorum. Sağlıklı olabilecek farklı bir yöntem var mı peki? Daha pratik.

[heartsmagic]

Daha pratiğini bilmiyorum ki rootkitler bu pratikliği sağlamak için yapılıyor. Warning adı altında sana söylüyor zaten şu şu dosyalar değişti diye. Senin gönderdiklerin bunun en güzel örneği. Ben bugüne kadar bu işi bir kere yaptım Son kullanıcı olduğum için pek gerekli görmüyorum açıkcası. Sunucu yönetenler ise daha dikkatli olmalılar elbette.

[FeNDeR]

Ok. Yüksek ihtimalle yanlış alarm olduğunu düşünüyorum zaten. Çok gerekirse md5 check olayına da girerim bir ara.