Bagdør i Linuxmaten nr. II

tux

Virus på Linux? Jeg mener faren er reel, og på nogle områder på højde med Windows. Denne artikel er den færdige udgave af 'Bagdør i Linuxmaten', der desværre gik lidt for tidligt i trykken :-)

Nuvel, det er kedeligt at læse det samme 2 gange, men til Jer der så første version anbefaler jeg at kigge på afsnittet 'Renselsen' og 'Morale', sidstnævnte ka' jo nok give nogle gode 'flammekaster-slagsmål' (dansk for 'flame wars'); det er dog kun godt da jeg meget gerne ville se en slags 'statistik' i forbindelse med hvis folk kører chkrootkit. Har jeg været uheldig, eller er isbjerget dybere end vand, øh 9/10 over eller noget?

3
2
1
nu!!

INDLEDNING:
Efter at have set en person spørge om virussituationen på Linux, tænkte jeg at jeg ville fortælle lidt om programmet 'chkrootkit' ( http://www.chkrootkit.org ) der tjekker for såkaldte 'rootkits', altså en bagdør der udnytter et sikkerhedshul til at give 'root'-adgang.

Av av av.
Da jeg kørte chkrootkit fandt jeg 2 bagdøre i min Rørhat 7.2 Linuxmat, denne maskine sidder på en router til en internetudbyder, og har 3 netkort så mine andre 2 maskiner kan dele internettet og bruge den som fil- og postvært mm.

Jeg må nok antage at min maskine er blevet inficeret fordi jeg ikke gad opdatere ssh på trods af advarsler om fundne huller. Der har også kørt en apache service og muligvis en håndfuld andre unødvendige ting.

Det ville være rart om I, kære læsere, ville køre 'chkrootkit' hos Jer selv, og melde tilbage til Linuxin.dk hvad resultatet er; jeg var ihverfald noget overrasket over at min computer havde haft indbrud.

Jeg tror nemlig mange Linuxmaskiner der er inficerede, blot bliver Linuxvirus/trojanske heste ikke brugt til at ødelægge lokalt materiale; den dumme cracker ødelægger, den kloge bruger maskinen til 'denial of service (dos)' angreb, til at sløre sine spor ved computerindbrud, til at sende reklamepost, til at lægge piratkopier til deling på, etc. Det er centralt at Linux-virusser ikke bemærkes ved, som på Win-dos, at post vedhæftet virusser rikochetterer rundt på nettet, filer eller diske forsvinder, men netop lever deres stille liv som latente bagdøre på 'det udmærkede serversystem Linux.' Endvidere kræver det mere viden af Linuxbrugeren at holde systemet virusfrit. På Windows holder man sit system omtrent sikkert ved at opdatere antivirusprogrammet, og undgå at åbne 'sjove' exe-filer fra Gud og hvermand.

IGANG:
Hent 'chkrootkit' ( http://www.chkrootkit.org ), oversæt (kompiler) det, kør det som root (tjek med /usr/sbin/chkrootkit -V at I kører den version i lige har hentet (og ikke en gammel installation). Det er vigtigt at hente den seneste version idet chkrootkit kun kan finde bagdøre den kender i forvejen.

(1)
kør '/usr/sbin/chkrootkit' (nogen der kender andre bagdørsskannere?)
{udput fra 'chkrootkit -q' (stille)
Checking `ifconfig'... INFECTED
Checking `login'... INFECTED
Checking `pstree'... INFECTED
/etc/ld.so.hash
Possible t0rn v8 (or variation) rootkit installed

/usr/lib/perl5/5.6.0/i386-linux/.packlist

Warning: Possible Showtee Rootkit installed
/usr/include/file.h /usr/include/proc.h
INFECTED (PORTS: 3049)

{i øvrigt er visse processer SKJULT, i et tilfælde kan man i
/proc/272/cmdline se /usr/sbin/xntps -q , en proces der IKKE kan ses med 'ps -ef'

netstat er manipuleret så den åbne port ikke bemærker.

En søgning på google på 'xntps' viser 83 træffere, mange fra nyhedsgrupper fra folk der er blevet knækket. Showtee kunne jeg ikke umiddelbart finde meget om på google.

(2)
kør en portskanning på din egen maskine; jeg loggede på mit arbejde og portskannede tilbage til min maskine med:

bla@job:~$ nmap 123.45.67.89 (dit ip-nr)

Starting nmap V. 2.54BETA31 ( www.insecure.org/nmap/ )
Warning: You are not root -- using TCP pingscan rather than ICMP
Interesting ports on xxx.xxx (123.45.67.89):
(The 1544 ports scanned but not shown below are in state: closed)
Port State Service
22/tcp open ssh
25/tcp open smtp
80/tcp open http
98/tcp open linuxconf
111/tcp open sunrpc
139/tcp open netbios-ssn
515/tcp open printer
840/tcp open unknown
1024/tcp open kdm
1026/tcp open nterm

Nmap run completed -- 1 IP address (1 host up) scanned in 24 seconds

på nettet fandt jeg
"nterm 1026/tcp remote_login network_terminal"

- så det er ikke så godt!

Måske er der nogen der melder sig frivilligt til at lave en side/service hvor folk uden adgang til andre maskiner kan få skannet sin maskine;( https://grc.com/x/ne.dll?bh0bkyd2 ) skanner visse porte, mest interessante for hullede windåser.

RENSELSEN:
Filer der starter xntps
[root@bla /etc]$ grep -ril xntps *
rc.d/rc.sysinit
rc.sysinit

For at det ikke skal være løgn er der ændret på ext2-filsystem-attributter (se man chattr):

[root@bla sbin]$ lsattr xntp*
s--ia-------- xntps
s--i--------- xntpv

Disse filer skal ikke have nogen af disse parametre sat; derfor får de en :~> chattr -sia xntps; chattr -si xntpv

Jeg må vist hellere finde alle mystiske filer:

[root@bla ssh]$ lsattr -Ra /bin /boot/ /etc/ /home/ /initrd/ /lib/ /lost+found/ /misc/ /mnt/ /opt/ /root/ /sbin/ /tmp/ /usr /var/ | grep -v "\-------------" | grep -v '^/' | sort | more -s > ~/filer_der_har_unormale_attributer.txt

Der er en hel del filer der har unormale attributter. Jeg begynder at kopiere tingene fra maskinen over til min windows-maskine, og pludselig reagerer virusskjoldet:

ialt 1690 virusser i filer i /usr/bin mm. Virussen er en ELF_GMON.A ifølge Trend PC-Cillin virusskjoldet (ELF er vist blot en betegnelse for at det er en Linux eksekverbar fl).

På Trend's hjemmeside står 'This is non-destructive ELF executable virus runs only on UNIX platforms. Once executed, it infects all files in the current directory'

( http://www.trendmicro.com/vinfo/virusencyclo/defau... )

Efter at have udkommenteret linjerne der starter xntps fra rc.d/rc.sysinit og rc.sysinit genstarter jeg maskinen, men noget er galt, og da formatterer jeg maskinen; jeg ville alligevel ikke have kunnet stole på den længere;

MORALE:
Linux er formentlig lige så udsat for crackning som windows. Jeg tænker her på at en Linuxmaskine oftest kører som server og derfor er bedre egnet til egentlige crackerformål. Endvidere er der ofte ikke installeret nogle virusskanner på maskinen, og mange Linuxvirusskannere er nærmere beregnet til at skanne ind/udgående post til windowsmaskiner. Det er jo nemt for en windowsbruger at købe et virusskannerprogram og så køre videre med hovedet under armen. Til gengæld er det mindre sandsynligt at brugeren får virus via post og programmer, og ihvertfald kan et produktionssystem i f.eks. et firma lade superbrugeren installere alle programmer centralt så man ikke skal uddele administratorrettigheder til alle medarbejdere.

Der er mange skrifter på internettet der omhandler sikkerhed, men her er de ting jeg har lært:

- kør ikke med modulær kerne, undlad at afkrydse 'Enable loadable module support' ved kernekompilering (alle distributioner kører med modulær kerne); kompilér istedet de nødvendige drivere ind i kernen. Modulær kerne tillader at 'LKM' (loadable kernel module) bagdøre kan installeres, og hvis først kernen er inficeret kan man formentlig ikke stole på virusskannere længere. Min computer havde kun inficerede programmer, kernen var tilsyneladende intakt.

Genveje:
http://www.kb.cert.org/vuls/id/945216
http://linux.cvf.net/linux_uncracked.html
http://www.soohrt.org/stuff/linux/suckit/

og lidt pjat: http://www.counterhack.net/base_clippy_image.html (se billede)
....................

APPENDIX:

Oversigt over hvad 'chkrootkit' foretager sig.

ROOTDIR is `/'
Checking `amd'... not found
Checking `basename'... not infected
Checking `biff'... not found
Checking `chfn'... not infected
Checking `chsh'... not infected
Checking `cron'... not infected
Checking `date'... not infected
Checking `du'... not infected
Checking `dirname'... not infected
Checking `echo'... not infected
Checking `egrep'... not infected
Checking `env'... not infected
Checking `find'... not infected
Checking `fingerd'... not infected
Checking `gpm'... not infected
Checking `grep'... not infected
Checking `hdparm'... not infected
Checking `su'... not infected
Checking `ifconfig'... INFECTED
Checking `inetd'... not tested
Checking `inetdconf'... not found
Checking `identd'... not infected
Checking `init'... not infected
Checking `killall'... not infected
Checking `ldsopreload'... not infected
Checking `login'... INFECTED
Checking `ls'... not infected
Checking `lsof'... not infected
Checking `mail'... not infected
Checking `mingetty'... not infected
Checking `netstat'... not infected
Checking `named'... not found
Checking `passwd'... not infected
Checking `pidof'... not infected
Checking `pop2'... not found
Checking `pop3'... not found
Checking `ps'... not infected
Checking `pstree'... INFECTED
Checking `rpcinfo'... not infected
Checking `rlogind'... not infected
Checking `rshd'... not infected
Checking `slogin'... not infected
Checking `sendmail'... not infected
Checking `sshd'... not infected
Checking `syslogd'... not infected
Checking `tar'... not infected
Checking `tcpd'... not infected
Checking `tcpdump'... not infected
Checking `top'... not infected
Checking `telnetd'... not infected
Checking `timed'... not found
Checking `traceroute'... not infected
Checking `w'... not infected
Checking `write'... not infected
Checking `aliens'... /etc/ld.so.hash
Searching for sniffer's logs, it may take a while... nothing found
Searching for HiDrootkit's default dir... nothing found
Searching for t0rn's default files and dirs... nothing found
Searching for t0rn's v8 defaults... Possible t0rn v8 (or variation) rootkit installed
Searching for Lion Worm default files and dirs... nothing found
Searching for RSHA's default files and dir... nothing found
Searching for RH-Sharpe's default files... nothing found
Searching for Ambient's rootkit (ark) default files and dirs... nothing found
Searching for suspicious files and dirs, it may take a while...
/usr/lib/perl5/5.6.0/i386-linux/.packlist

Searching for LPD Worm files and dirs... nothing found
Searching for Ramen Worm files and dirs... nothing found
Searching for Maniac files and dirs... nothing found
Searching for RK17 files and dirs... nothing found
Searching for Ducoci rootkit... nothing found
Searching for Adore Worm... nothing found
Searching for ShitC Worm... nothing found
Searching for Omega Worm... nothing found
Searching for Sadmind/IIS Worm... nothing found
Searching for MonKit... nothing found
Searching for Showtee... Warning: Possible Showtee Rootkit installed
Searching for OpticKit... nothing found
Searching for T.R.K... nothing found
Searching for Mithra... nothing found
Searching for OBSD rk v1... nothing found
Searching for LOC rootkit ... nothing found
Searching for Romanian rootkit ... /usr/include/file.h /usr/include/proc.h
Searching for HKRK rootkit ... nothing found
Searching for anomalies in shell history files... nothing found
Checking `asp'... not infected
Checking `bindshell'... INFECTED (PORTS: 3049)
Checking `lkm'... Checking `rexedcs'... not found
Checking `sniffer'... not tested: can't exec ./ifpromisc
Checking `wted'... not tested: can't exec ./chkwtmp
Checking `scalper'... not infected
Checking `slapper'... not infected
Checking `z2'... not tested: can't exec ./chklastlog

Læs også:
Bagdør i Linuxmaten nr. I
http://www.linuxin.dk/node/74