Assinatura de rootkit

tscoutinho
(usa Mandrake)

Enviado em 06/11/2005 - 23:23h

Alguem poderia definir o que seria essa assinatura? Como o rootkit estabelece essa assinatura?

melphos
(usa Debian)

Enviado em 09/11/2005 - 08:21h

Cara .. seja mais expecífico em sua pergunta ...

[]'s

hadit
(usa Slackware)

Enviado em 09/11/2005 - 20:48h

assinatura é uma marca especifica de um ataque, os IDSs trabalham em cima disso, por exemplo "../" essa é uma assinatura de um ataque de exame de diretorio, então só um ataque desses (ou outros) utilizam esse comando, para saber mais sobre isso, de uma estuda em regras de IDS

[]'s

y2h4ck
(usa Suse)

Enviado em 13/11/2005 - 20:46h

Olá Prezados amigos, Desculpem o descaso com a comunidade porém a quantidade de trabalho me fez deixar o vivaolinux um pouco de lado.
Programas como o rkhunter ou chkrootkit trabalham utilizando uma cadeia de "assinaturas" que rootkits deixam pela máquina.

Um exemplo clássico:

Um atacante instala o conhecido suckit 2 LKM rootkit. Bom o suckit modifica a arvore de init do sistema e modifica as chamadas no /proc/kmem deixando assim o mesmo praticamente imperceptivel para nos meros administradores.

Porem ... ele modifica alguns atributos pelo sistema por exemplo .. ele altera o /bin/init e coloca um cara assim /bin/initsk2.

Tambem o init fica com os atributos

-auS para que ele fique imutavel e o admin nao consiga remover... e tambem o tamanho do mesmo modifica assim o md5 gerado pelo sistema nao bate com oq o suckit verifica assim ele alerta o admin exibindo um [FOUND] na tela.

Dai e so fazer um brute-force no /proc para achar os processos do suckit e fazer a limpeza do mesmo.

Espero ter ajudado