[Linux-Biella] viruz :°

LeOS linux@bilug.linux.it
Thu, 27 Jun 2002 11:29:10 +0200

Previous message: [Linux-Biella] Advanced routing
Next message: [Linux-Biella] viruz :°
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]

PREMESSA: luca non ti spaventare dal nome della box... non c'entra il ns
server :)


ebbene si, pure io ke mi credevo immortale sono stato colpito...
purtroppo non si tratta della mia box, ma di una makkina di produzione.
e' una slack 8.0 con kernel 2.4.18

stanotte mi sono dilettato a fare una cosa di questo tipo

da una box pulita ho provato a puttare via ftp i comandi puliti (si
distinguono da quelli infettati per una differenza di dimensione di
circa 8kb o poco piu')

dopo aver fatto put di alcuni comandi di base, dopo poco li ritrovavo
infettati... benissimo, il virus e' residente in memoria... ma quale e'
il processo? riesco a vederlo?

cerchiamo di capire come fa...

sempre dalla box pulita rinomino i bin in *.ps (mi piaceva) allora
ottengo un piccolo derootkit con i comandi principali, ps.ps kill.ps
(che non va e non so perke'), ls.ps, eccetera
faccio chmod 555 dei nuovi comandi per renderli eseguibili (ma non
scrivibili), li copio -a in /bin e rimangono intatti... fino a quando
non provo ad eliminare il .ps... il virus me li infetta nuovamente...
bene, se ne sbatte del no write :°
vabbe'... mi accontento dei comandi .ps e procedo.

poco fa mi sono accorto grazie al potente comando ps.ps della presenza
di uno strano processo:

8743 ?        S      0:00 /bin/ls --color=auto -F -b -T 0 -al

ottimisticamente penso: eccoti, bastardo!!!
killo il processo e provo a eliminare /bin/ls
copio in /bin il mio ls.ps e poi faccio ancora cp.ps /bin/ls.ps /bin/ls
controllo e dopo un primo rassicurante: 

root@nstemp:/home/leos# ./ls.ps -al /bin/ |grep ls
-rwxr-xr-x    1 root     bin         13499 Apr  5  2001 false
-r-xr-xr-x    1 root     root        45408 Jun 27 11:20 ls
-r-xr-xr-x    1 root     root        45408 Jun 27 11:15 ls.ps

ritento per controllare meglio:

root@nstemp:/home/leos# ./ls.ps -al /bin/ |grep ls
-rwxr-xr-x    1 root     bin         13499 Apr  5  2001 false
-r-xr-xr-x    1 root     root        54167 Jun 27 11:20 ls
-r-xr-xr-x    1 root     root        45408 Jun 27 11:15 ls.ps

e riecco il ls infettato dal figlio di...

conclusioni:
- il virus c'e' e e' ben nascosto
- e' residente in memoria
- non tocca i path ma ha una ben precisa lista di comandi da infettare
in quanto ls me lo infetta ovunque si trovi
- f-prot trova un non meglio identificato unknown virus
- sono disperato...
- non posso brasare la box...
- non so proprio come il cliente possa aver preso il virus...
- aiutoooooooooooooooooooooooooooooooooooooooooooooooooooo

Previous message: [Linux-Biella] Advanced routing
Next message: [Linux-Biella] viruz :°
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]