Linux Mint: Estou infectado com um rootkit

0

Eu tentei fazer login na minha conta de administrador e ele disse que a senha estava incorreta. Não há como ter sido incorreto, pois copiei e colei de um drive USB. Eu redefino minha senha, instalei o chkrootkit e descobri que fui infectado por um rootkit. Então, o que eu faço, basta excluir os arquivos chkrootkit relatados? Aqui está a saída do terminal:

user1@user1-linux ~ $ sudo chkrootkit
[sudo] password for username: 
ROOTDIR is '/'
Checking 'amd'...                                           not found
Checking 'basename'...                                      not infected
Checking 'biff'...                                          not found
Checking 'chfn'...                                          not infected
Checking 'chsh'...                                          not infected
Checking 'cron'...                                          not infected
Checking 'crontab'...                                       not infected
Checking 'date'...                                          not infected
Checking 'du'...                                            not infected
Checking 'dirname'...                                       not infected
Checking 'echo'...                                          not infected
Checking 'egrep'...                                         not infected
Checking 'env'...                                           not infected
Checking 'find'...                                          not infected
Checking 'fingerd'...                                       not found
Checking 'gpm'...                                           not found
Checking 'grep'...                                          not infected
Checking 'hdparm'...                                        not infected
Checking 'su'...                                            not infected
Checking 'ifconfig'...                                      not infected
Checking 'inetd'...                                         not infected
Checking 'inetdconf'...                                     not found
Checking 'identd'...                                        not found
Checking 'init'...                                          not infected
Checking 'killall'...                                       not infected
Checking 'ldsopreload'...                                   not infected
Checking 'login'...                                         not infected
Checking 'ls'...                                            not infected
Checking 'lsof'...                                          not infected
Checking 'mail'...                                          not found
Checking 'mingetty'...                                      not found
Checking 'netstat'...                                       not infected
Checking 'named'...                                         not found
Checking 'passwd'...                                        not infected
Checking 'pidof'...                                         not infected
Checking 'pop2'...                                          not found
Checking 'pop3'...                                          not found
Checking 'ps'...                                            not infected
Checking 'pstree'...                                        not infected
Checking 'rpcinfo'...                                       not found
Checking 'rlogind'...                                       not found
Checking 'rshd'...                                          not found
Checking 'slogin'...                                        not infected
Checking 'sendmail'...                                      not found
Checking 'sshd'...                                          not found
Checking 'syslogd'...                                       not tested
Checking 'tar'...                                           not infected
Checking 'tcpd'...                                          not infected
Checking 'tcpdump'...                                       not infected
Checking 'top'...                                           not infected
Checking 'telnetd'...                                       not found
Checking 'timed'...                                         not found
Checking 'traceroute'...                                    not found
Checking 'vdir'...                                          not infected
Checking 'w'...                                             not infected
Checking 'write'...                                         not infected
Checking 'aliens'...                                        no suspect files
Searching for sniffer's logs, it may take a while...        nothing found
Searching for rootkit HiDrootkit's default files...         nothing found
Searching for rootkit t0rn's default files...               nothing found
Searching for t0rn's v8 defaults...                         nothing found
Searching for rootkit Lion's default files...               nothing found
Searching for rootkit RSHA's default files...               nothing found
Searching for rootkit RH-Sharpe's default files...          nothing found
Searching for Ambient's rootkit (ark) default files and dirs... nothing found
Searching for suspicious files and dirs, it may take a while... The following suspicious files and directories were found:  
/usr/lib/python3/dist-packages/PyQt4/uic/widget-plugins/.noinit /usr/lib/jvm/.java-1.7.0-openjdk-amd64.jinfo /usr/lib/python2.7/dist-packages/PyQt4/uic/widget-plugins/.noinit /usr/lib/pymodules/python2.7/.path /lib/modules/3.19.0-32-generic/vdso/.build-id
/lib/modules/3.19.0-32-generic/vdso/.build-id
Searching for LPD Worm files and dirs...                    nothing found
Searching for Ramen Worm files and dirs...                  nothing found
Searching for Maniac files and dirs...                      nothing found
Searching for RK17 files and dirs...                        nothing found
Searching for Ducoci rootkit...                             nothing found
Searching for Adore Worm...                                 nothing found
Searching for ShitC Worm...                                 nothing found
Searching for Omega Worm...                                 nothing found
Searching for Sadmind/IIS Worm...                           nothing found
Searching for MonKit...                                     nothing found
Searching for Showtee...                                    nothing found
Searching for OpticKit...                                   nothing found
Searching for T.R.K...                                      nothing found
Searching for Mithra...                                     nothing found
Searching for LOC rootkit...                                nothing found
Searching for Romanian rootkit...                           nothing found
Searching for Suckit rootkit...                             Warning: /sbin/init INFECTED
Searching for Volc rootkit...                               nothing found
Searching for Gold2 rootkit...                              nothing found
Searching for TC2 Worm default files and dirs...            nothing found
Searching for Anonoying rootkit default files and dirs...   nothing found
Searching for ZK rootkit default files and dirs...          nothing found
Searching for ShKit rootkit default files and dirs...       nothing found
Searching for AjaKit rootkit default files and dirs...      nothing found
Searching for zaRwT rootkit default files and dirs...       nothing found
Searching for Madalin rootkit default files...              nothing found
Searching for Fu rootkit default files...                   nothing found
Searching for ESRK rootkit default files...                 nothing found
Searching for rootedoor...                                  nothing found
Searching for ENYELKM rootkit default files...              nothing found
Searching for common ssh-scanners default files...          nothing found
Searching for suspect PHP files...                          nothing found
Searching for anomalies in shell history files...           nothing found
Checking 'asp'...                                           not infected
Checking 'bindshell'...                                     not infected
Checking 'lkm'...                                           chkproc: nothing detected
chkdirs: nothing detected
Checking 'rexedcs'...                                       not found
Checking 'sniffer'...                                       lo: not promisc and no packet sniffer sockets
eth0: PACKET SNIFFER(/sbin/dhclient[1166])
Checking 'w55808'...                                        not infected
Checking 'wted'...                                          chkwtmp: nothing deleted
Checking 'scalper'...                                       not infected
Checking 'slapper'...                                       not infected
Checking 'z2'...                                            user user2 deleted or never logged from lastlog!
user user1 deleted or never logged from lastlog!
user user3 deleted or never logged from lastlog!
Checking 'chkutmp'...                                        The tty of the following user process(es) were not found
 in /var/run/utmp !
! RUID          PID TTY    CMD
! rasmus       2650 pts/0  /usr/bin/xflux -l 60° -k 3400 -nofork
chkutmp: nothing deleted
Checking 'OSX_RSPLUG'...                                    not infected

Sinto muito pela formatação confusa, não sei como exibi-la corretamente. De qualquer forma, esses arquivos estão infectados:

The following suspicious files and directories were found:  
/usr/lib/python3/dist-packages/PyQt4/uic/widget-plugins/.noinit /usr/lib/jvm/.java-1.7.0-openjdk-amd64.jinfo /usr/lib/python2.7/dist-packages/PyQt4/uic/widget-plugins/.noinit /usr/lib/pymodules/python2.7/.path /lib/modules/3.19.0-32-generic/vdso/.build-id
/lib/modules/3.19.0-32-generic/vdso/.build-id

Searching for Suckit rootkit...                             Warning: /sbin/init INFECTED

Eu também alterei as configurações do firewall para que ele registre qualquer ação suspeita. Eu estou no Windows agora; Espero que não possa se espalhar para minha partição do Windows?

EDIT: Estou usando o Linux Mint como meu sistema operacional pessoal para que nenhuma rede seja afetada. Eu vou apenas limpar o disco.

    
por What's my name 07.03.2016 / 19:06

6 respostas

1

Em geral, você não precisa se preocupar com a disseminação de um rootkit do Linux em um sistema Windows, mas deve estar ciente de que uma rede comprometida pode abrir qualquer sistema para problemas semelhantes.

Não exclua / sbin / init ! Ele controla sua inicialização / desligamento, portanto, a exclusão deixará um sistema não inicializável.

O chkrootkit procura apenas assinaturas, mas não verifica a presença de arquivos conhecidos de rootkit, tornando-o propenso a falsos positivos. Java é notório por disparar esses falsos positivos, assim como muitas outras ferramentas de programação.

Você vai querer instalar o rkhunter e varrer seu sistema, pois ele procura por arquivos de assinatura, mas também é propenso a falsos positivos, portanto não seja muito rápido para remover arquivos sem verificar se eles pertencem a eles. ou não.

Se a sua distro tiver uma transmissão ao vivo, você pode copiar o / sbin / init para o sistema, e ele deve ser inicializado corretamente, mas não há garantias.

Pessoalmente, se você tiver certeza de que sua senha está comprometida em um sistema que atua como um firewall para uma rede, eu optaria por uma nova instalação e faria um trabalho mais completo protegendo o sistema.

Ferramentas como chkrootkit e rkhunter tendem a ser mais úteis para sistemas terminais, especialmente para usuários domésticos, ao invés de pontos de entrada primários, principalmente porque, por natureza, eles estão sempre buscando novos desenvolvimentos no domínio da segurança, então eles nunca bloqueie as novas explorações.

Uma vez que um firewall está enraizado, é importante verificar também todos os sistemas na rede. Um firewall Linux pode ter sua senha alterada para bloqueá-lo, mas um sistema Windows também é um alvo fácil.

É possível que um ataque tão flagrante signifique que o invasor pretendia chantageá-lo pelo acesso ao sistema bloqueado. Portanto, verifique seus registros de e-mail, pode haver uma mensagem pedindo dinheiro e, de preferência, denuncie o problema ao autoridades em sua área, para que possam ajudar a rastrear esses grupos.

    
por 07.03.2016 / 19:54
3

Um pouco de pesquisa na internet mostra que pode ser um falso positivo. Verifique sua versão chkrootkit :

$  chkrootkit -V

Se estiver abaixo da versão 0.50 , pode retornar falso positivo para Suckit , consulte aqui para o relatório de erros.

Além disso, foi apontado que o site da Mint foi comprometido no dia 20 de fevereiro de 2016 strong> com um backdoor colocado na imagem ISO, não tenho certeza se isso tem algo a ver com o que você relatou. Mas você ainda pode tentar:

How to check if your ISO is compromised?

If you still have the ISO file, check its MD5 signature with the command “md5sum yourfile.iso” (where yourfile.iso is the name of the ISO).

The valid signatures are below:

6e7f7e03500747c6c3bfece2c9c8394f  linuxmint-17.3-cinnamon-32bit.iso
e71a2aad8b58605e906dbea444dc4983  linuxmint-17.3-cinnamon-64bit.iso
30fef1aa1134c5f3778c77c4417f7238  linuxmint-17.3-cinnamon-nocodecs-32bit.iso
3406350a87c201cdca0927b1bc7c2ccd  linuxmint-17.3-cinnamon-nocodecs-64bit.iso
df38af96e99726bb0a1ef3e5cd47563d  linuxmint-17.3-cinnamon-oem-64bit.iso

If you still have the burnt DVD or USB stick, boot a computer or a virtual machine offline (turn off your router if in doubt) with it and let it load the live session.

Once in the live session, if there is a file in /var/lib/man.cy, then this is an infected ISO.

Por fim, eu não ficaria confidente com MD5 ou SHA-1 somas para validar a integridade dos arquivos, pois eles estão quebrados há anos, verificando melhor em relação a SHA-256 ou superior.

    
por 08.03.2016 / 08:37
1

Você pode considerar tirar uma imagem do disco infectado e usar a Autopsy do sleuthkit em uma cópia offline da imagem para criar uma linha do tempo e procurar alterações no sistema de arquivos no momento em que o arquivo / sbin / init foi alterado. O perp / rootkit poderia ter STOMPed os registros de tempo modificados, acessados e criados, mas pelo menos você pode ter uma ideia do que eles procuravam. - transformando seu dispositivo em um bot, ransomware ou procurando por um em sua rede.

Consulte http://www.sleuthkit.org/autopsy/docs/quick/

Alternativamente, contrate um especialista forense cibernético certificado local que possa informar você sobre o que realmente aconteceu.

    
por 07.03.2016 / 21:06
0

É altamente improvável que um rootkit escrito para a plataforma Linux se espalhe em uma partição do Windows ou host, mas, novamente, considerando a velocidade dos avanços no desenvolvimento de malware, nunca se pode ter certeza se ele possui um vetor de ataque para vizinhos. instâncias do Windows.

Chegando a como combatê-lo, não há solução melhor do que limpar e reinstalar o sistema operacional. Caso contrário, nunca se pode ter certeza se você pegou tudo ou se houve um retardatário que você deixou para trás.

    
por 07.03.2016 / 19:41
0

A melhor maneira que eu lidei para lidar com rootkits é limpar a unidade. Contudo; dependendo da importância dos seus dados. Você poderia criar outra conta de SU / root e desabilitar / privar a conta que estiver executando o rootkit.

Você já checou falsos positivos?

    
por 07.03.2016 / 19:45
0

Os servidores Linux mint foram invadidos recentemente e alguém colocou arquivos ISO infectados em seus servidores de download. A situação está de volta ao normal agora.

É mais provável que você tenha sido atingido por isso. É altamente improvável que você seja hackeado por um profissional, a menos que você tenha irritado muito a NSA / máfia.

Infelizmente, a única boa maneira aqui é limpar a partição linux e reinstalar.

O malware Linux per se não pode se espalhar para o Windows, mas o Linux é um programa, então, uma vez que tenha acesso root, ele pode fazer o que quiser, como fazer o download de malware para o Windows.

Execute uma varredura com um CD de resgate, distribuições linux especiais feitas por empresas de antivírus para que você possa digitalizar janelas de um ponto de vista (é improvável que o antivírus instalado no Windows possa fazer qualquer coisa agora), formatar partições do Linux e reinstalar com um NOVO arquivo iso que você baixou agora que eles substituíram os infectados.

aqui o post do blog do Linux Mint Team link

    
por 08.03.2016 / 09:10