Binários alterados espontaneamente no CentOS

2

Isso me preocupa um pouco: estou usando um afick para monitorar um servidor do CentOS 6 quanto a alterações em arquivos & diretórios. Eu quero detectar alterações em arquivos binários, scripts PHP que estão sendo contrabandeados para o servidor, arquivos de configuração que mudam, etc. Isso é executado diariamente e recebo um email com as alterações detectadas. Geralmente, ele contém apenas arquivos de log e alterações depois que eu atualizei meu webcode ou instalei um novo software. Hoje eu pareci ter atingido o jackpot, mas não tenho certeza.

Recebi um email em que a soma de verificação MD5 de centenas de arquivos foi alterada, mas não seu registro de data e hora ou tamanho. Isso inclui executáveis como /bin/gawk , mas também bibliotecas como /lib/libasound.so.2.0.0 . Tudo isso aconteceu entre as 4:00 de 1 de janeiro e 4:00 de janeiro de 2 (afick é às 4:00).

Como teste, restaurei / bin / gawk do backup e executei uma soma de verificação md5 manual; de fato, o arquivo foi alterado. Mas um diff entre os dois binários é algo não conclusivo:

--- old.gawk.hex        2017-01-02 15:56:06.000000000 +0100
+++ new.gawk.hex        2017-01-02 15:56:14.000000000 +0100
@@ -881,12 +881,12 @@
 00003700  a6 03 00 00 00 00 00 00  d1 04 00 00 12 00 0d 00  |................|
 00003710  f0 6d 42 00 00 00 00 00  2a 10 00 00 00 00 00 00  |.mB.....*.......|
 00003720  01 00 00 00 b0 6b 5a 56  65 fd 1b 6d 00 00 00 00  |.....kZVe..m....|
-00003730  00 00 00 00 44 00 00 00  b0 6b 5a 56 b2 04 c4 e2  |....D....kZV....|
+00003730  00 00 00 00 44 00 00 00  56 e5 5d 58 82 a0 c7 cf  |....D...V.]X....|
 00003740  00 00 00 00 00 00 00 00  62 00 00 00 b0 6b 5a 56  |........b....kZV|
 00003750  58 97 65 11 00 00 00 00  00 00 00 00 97 10 00 00  |X.e.............|
 00003760  b0 6b 5a 56 30 fb 60 86  00 00 00 00 00 00 00 00  |.kZV0.'.........|
 00003770  b0 2f 40 83 34 00 00 00  01 00 00 00 00 00 00 00  |./@.4...........|
-00003780  e0 08 65 00 00 00 00 00  e0 1f c8 83 34 00 00 00  |..e.........4...|
+00003780  e0 08 65 00 00 00 00 00  e0 1f 88 0a 35 00 00 00  |..e.........5...|
 00003790  01 00 00 00 00 00 00 00  08 09 65 00 00 00 00 00  |..........e.....|
 000037a0  50 2d 15 83 34 00 00 00  01 00 00 00 00 00 00 00  |P-..4...........|
 000037b0  d0 ff ff ff ff ff ff ff  58 2d 15 83 34 00 00 00  |........X-..4...|
@@ -19806,13 +19806,13 @@
 *
 000501e0  28 00 65 00 00 00 00 00  1e 59 40 00 00 00 00 00  |(.e......Y@.....|
 000501f0  00 00 00 00 00 00 00 00  00 b1 e8 82 34 00 00 00  |............4...|
-00050200  10 cd ec 82 34 00 00 00  50 32 a2 83 34 00 00 00  |....4...P2..4...|
-00050210  80 79 e6 82 34 00 00 00  e0 2f a2 83 34 00 00 00  |.y..4..../..4...|
+00050200  10 cd ec 82 34 00 00 00  50 32 62 0a 35 00 00 00  |....4...P2b.5...|
+00050210  80 79 e6 82 34 00 00 00  e0 2f 62 0a 35 00 00 00  |.y..4..../b.5...|
 00050220  20 87 e7 82 34 00 00 00  20 bc e8 82 34 00 00 00  | ...4... ...4...|
 00050230  20 9f e7 82 34 00 00 00  b0 05 e8 82 34 00 00 00  | ...4.......4...|
 00050240  d0 af e9 82 34 00 00 00  20 5e ed 82 34 00 00 00  |....4... ^..4...|
 00050250  40 7e ee 82 34 00 00 00  40 71 ec 82 34 00 00 00  |@[email protected]...|
-00050260  10 9d e9 82 34 00 00 00  30 6f a1 83 34 00 00 00  |....4...0o..4...|
+00050260  10 9d e9 82 34 00 00 00  30 6f 61 0a 35 00 00 00  |....4...0oa.5...|
 00050270  f0 d7 ec 82 34 00 00 00  60 19 e3 82 34 00 00 00  |....4...'...4...|
 00050280  e0 b1 e9 82 34 00 00 00  10 85 ee 82 34 00 00 00  |....4.......4...|
 00050290  30 84 ec 82 34 00 00 00  40 20 e6 82 34 00 00 00  |0...4...@ ..4...|
(etc)

Claro, meu primeiro pensamento foi hackear, mas ver o diff me faz pensar. Nenhum código real parece ter mudado; Não sou especialista em binários ELF, mas acho que são apenas tabelas de deslocamento de relocação para bibliotecas compartilhadas.

Então o que você acha que realmente aconteceu? Além de hackear, a única outra possibilidade que posso imaginar é uma medida de 'segurança', na qual os deslocamentos de bibliotecas compartilhadas são randomizados e os binários ligados a eles devem ser atualizados também. Mas por que agora? A última vez que instalei um software foi em 23 de dezembro e nada de estranho apareceu no meio. O único cronjob que pode estar relacionado é o /etc/cron.daily/prelink, mas se for assim, por que agora?

    
por JvO 02.01.2017 / 16:34

1 resposta

1

A diferença nas somas de verificação binárias que você descreveu provavelmente se deve ao pré-teste. Distribuições Linux baseadas no RHEL, como o CentOS e o Fedora, têm o prelinking ativado por padrão. Veja como um artigo do LWN.net de 2009 explica o conceito por trás do prelink:

Linux programs typically consist of a binary executable file that refers to multiple shared libraries. These libraries are loaded into memory once and shared by multiple executables. In order to make that happen, the dynamic linker (i.e. ld.so) needs to change the binary in memory such that any addresses of library objects point to the right place in memory. For applications with many shared libraries—GUI programs for example—that process can take some time.

The idea behind pre-linking is fairly simple: reduce the amount of time the dynamic linker needs to spend doing these address relocations by doing it in advance and storing the results. The prelink program processes ELF binaries and shared libraries in much the same way that ld.so would, and then adds special ELF sections to the files describing the relocations. When ld.so loads a pre-linked binary or library, it checks these sections and, if the libraries are loaded at the expected location and the library hasn't changed, it can do its job much more quickly.

No entanto, se as bibliotecas forem sempre carregadas no mesmo local de memória, os invasores podem tentar direcionar esses locais com código mal-intencionado, razão pela qual a distribuição de prelink do Redhat distro é feita regularmente com a opção -R ). Uma conseqüência de alterar os locais da memória é que a soma de verificação dos arquivos executáveis binários será alterada. Portanto, se você estiver usando um verificador de integridade de arquivos como o AIDE, será alertado sobre um binário "alterado" quando, na verdade, a única alteração ocorrida é o ASLR via prelink -R .

Referências: link

    
por 07.01.2017 / 09:27