Rootkit's och elände.

Rootkit's och elände.

Inläggav PowerMizer 31 mar 2009 21:37

Satt här i eftermiddag och fördjupade mej i hur rootkit funkar och hur man hittar/tar bort dom.
När jag körde WinXP fick jag ett (?) rootkit i datorn som jag inte fick bort. Inget AV och ingen brandvägg hittade det, men det fanns där. Namnet på det fick jag fram med nått RK-letar-progg som jag hittade i nån avlägsen del av internet. Riktigt läskigt! Jag hittade aldrig rootkitet och fick såklart inte bort det heller... Det hela slutade med att jag flashade om bios, lågnivåformaterade HD'n och installerade XP på nytt. Då var det lungt.

Nu är jag äldre och klokare (jag kör alltså Linux! 8) ), men fick för mej att scanna efter rootkit. I Linux (Ubuntu/Debian) är det riktigt enkelt:
Kod: Markera allt
sudo apt-get install chkrootkit rkhunter
sudo chkrootkit
sudo rkhunter
Sen är det klart!

Jag fick en varning:
Kod: Markera allt
[20:58:44] /usr/sbin/unhide                                  [ Warning ]
[20:58:44] Warning: The file '/usr/sbin/unhide' exists on the system, but it is not present in the rkhunter.dat file.
När jag kollar upp detta på nätet (det var inget allvarligt) så trillade jag över detta:
BTW this should be interesting lecture too for you: default backdoor on motherboards

En artikel om att Kineserna kan ha stoppat in små spionchip i varenda moderkort!
The myth: Chinese intelligence services have concealed a microchip in every computer everywhere, programmed to “call home” if and when activated.

The reality: It may actually be true.

All computers on the market today — be they Dell, Toshiba, Sony, Apple or especially IBM — are assembled with components manufactured inside the PRC. Each component produced by the Chinese, according to a reliable source within the intelligence community, is secretly equipped with a hidden microchip that can be activated any time by China’s military intelligence services, the PLA.

“It is there, deep inside your computer, if they decide to call it up,” the security chief of a multinational corporation told The Investigator. “It is capable of providing Chinese intelligence with everything stored on your system — on everyone’s system — from e- mail to documents. I call it Call Home Technology. It doesn’t mean to say they’re sucking data from everyone’s computer today, it means the Chinese think ahead — and they now have the potential to do it when it suits their purposes.”

Dax att citera mej själv: "Du.... Du behöver aldrig vara lugn!"
/PowerMizer
P!
Användarvisningsbild
PowerMizer
 
Inlägg: 3801
Blev medlem: 28 mar 2007 15:04

Re: Rootkit's och elände.

Inläggav KennethE 31 mar 2009 22:40

Det enda sättet att vara verkligt säker på att skydda sig mot alla rootkit är genom att boota datorn från en live-CD och scanna därifrån, och inte ens då kan man hitta dem ifall de finns i chip på moderkortet.

Det är jäkligt konstigt att inte antivirustillverkarna tillhandahåller live-CD med Linux och deras antivirusprogram i linuxversion för scanning av Windowsdatorer.
Lättjan är uppfinningarnas moder.
KennethE
 
Inlägg: 1361
Blev medlem: 15 dec 2008 16:15
Ort: Lindome

Re: Rootkit's och elände.

Inläggav Karro 01 apr 2009 06:55

Med tanke på att H-rotorerna från Kinesiska militären inte fungerar sådär jättebra, tror jag nog inte de inbyggda microchipen fungerar så bra heller. Så tror jag inte de kan läsa filsystemet ext3, så, de får nog tji där. Sedan kan man fråga sig hur de har tänkt sig ta sig förbi brandväggen.

Jag suttit några dagar för att av olika skäl fippla med linux för att få en brandvägg och routing och vpn att fungera sådär för första april. Under hela processen, som för övrigt inte var speciellt enkel, så noterade jag mängden skräpkommunikation som kom till min dator, utan att jag bett om det. Jag kollade upp lite grand vad det kunde vara, och en stor del kommer från virus eller trojaner. Att ha windows-dator utan brandvägg, är som att gå ut i regnväder utan regnväder och tro att man inte ska bli våt. En linux-dator är för det mesta regnsäker.

Efter att ha provat alla grafiska brandväggsprogram som jag kunde hitta och funnit att de inte kunde göra det jag ville göra, skrev jag till slut min brandvägg i rå iptables. Lite småparanoid har jag börjat bli med IPRED och all skräpkommunikation, så min brandväggsdator går allt mer från att vara öppen till att endast kunna göra exakt vad jag bett om och inget annat.
Användarvisningsbild
Karro
 
Inlägg: 2210
Blev medlem: 13 maj 2007 08:13
Ort: Västernorrland

Re: Rootkit's och elände.

Inläggav KennethE 01 apr 2009 09:52

Jag satte upp mina brandväggsregler genom att utgå ifrån en fil från http://dotfiles.com/ som jag sedan redigerade så att den passade mig. Det är ofta lättast att ha något fungerande att utgå ifrån och söka upp de kommandon som använts i dokumentationen i stället för att försöka leta där efter hur man åstadkommer det man vill.

Det var förmodligen den här jag utgick ifrån.

Sedan kan det vara värt att titta på fail2ban som i alla fall för debian finns som paket så att det är lätt att installera. Det finns också gott om tutorials på nätet för hur man sätter upp den för att övervaka olika saker.
Lättjan är uppfinningarnas moder.
KennethE
 
Inlägg: 1361
Blev medlem: 15 dec 2008 16:15
Ort: Lindome

Re: Rootkit's och elände.

Inläggav Karro 01 apr 2009 10:44

Jag försökte olika sådana vägar, men gav till slut upp med det. Min brandvägg är baserad på exempelbrandväggen i "iptables tutorial". Det jag vill göra, som tydligen är väldigt udda, är att leda olika typer av trafik olika vägar. Jo, det står lite här och där typ - gör ungefär såhär - men tyvärr räcker inte ungefär, utan det är exakt som gäller.
Användarvisningsbild
Karro
 
Inlägg: 2210
Blev medlem: 13 maj 2007 08:13
Ort: Västernorrland

Re: Rootkit's och elände.

Inläggav PowerMizer 02 apr 2009 10:40

Karro skrev:Det jag vill göra, som tydligen är väldigt udda, är att leda olika typer av trafik olika vägar.
He... Det är som att detta forum lockar folk som gör saker på ett otraditionellt sätt. :lol:
Har du kollat in färdiga system som Smoothwall, IPCop, Gibraltar(går att få personlig licens gratis) m.fl? Ofta kan man sätta upp flera interface och reglera olika trafik på olika kort/IP-nr... Jag vet ju inte vad du pysslar med, men går det att konfigurera med grafiskt webbgränssnitt så föredrar jag det!
/PowerMizer
P!
Användarvisningsbild
PowerMizer
 
Inlägg: 3801
Blev medlem: 28 mar 2007 15:04

Re: Rootkit's och elände.

Inläggav Karro 02 apr 2009 11:04

Jag kör linux och på en gammal dator. Datorn gör dessutom lite andra saker, som web-server, fil-server ochvaddetnukanvara.
Hursomhelst, problemet är löst. Nu kan jag relakksa.
Användarvisningsbild
Karro
 
Inlägg: 2210
Blev medlem: 13 maj 2007 08:13
Ort: Västernorrland

Re: Rootkit's och elände.

Inläggav KennethE 02 apr 2009 11:58

Dessutom har du lärt dig en massa på kuppen. :-)
Lättjan är uppfinningarnas moder.
KennethE
 
Inlägg: 1361
Blev medlem: 15 dec 2008 16:15
Ort: Lindome

Re: Rootkit's och elände.

Inläggav deepforest 02 apr 2009 12:01

Ett annat elände!
Är det någon som vet hur man stänger av uppladdningsfunktionen i utorrent?
"Jag har aldrig haft så mycket besvär med någon annan människa som jag haft med mig själv"
Användarvisningsbild
deepforest
 
Inlägg: 1223
Blev medlem: 19 mar 2008 13:13
Ort: Ösa, Ås, Jämtland

Re: Rootkit's och elände.

Inläggav PowerMizer 02 apr 2009 12:03

Karro skrev:Nu kan jag relakksa.
:mrgreen: :mrgreen: :mrgreen:
deepforest skrev:Är det någon som vet hur man stänger av uppladdningsfunktionen i utorrent?
Ehhh...?? Kör inte Windows, men det kan ju inte vara så svårt?! Går det inte att välja att avbryta delning på enskilda filer heller?
/PowerMizer
P!
Användarvisningsbild
PowerMizer
 
Inlägg: 3801
Blev medlem: 28 mar 2007 15:04

Re: Rootkit's och elände.

Inläggav PowerMizer 02 apr 2009 12:10

µTorrent finished downloading, but now it says it's Seeding. What does that mean?

Seeding is where you leave your BitTorrent client open after you've finished your download to help distribute it (you distribute the file while downloading, but it's even more helpful if you continue to distribute the full file even after you have finished downloading). Chances are that most of the data you got was from seeds, so help give back to the community! It doesn't require much - µTorrent will continue seeding until the torrent is removed (right click the torrent, then hit Remove). Proper practice is to seed until the ratio of upload:download is at least 1.00.


Aha... Dom "tvingar" dej att hjälpa nätverket genom att alltid ladda upp filer....
/PowerMizer
P!
Användarvisningsbild
PowerMizer
 
Inlägg: 3801
Blev medlem: 28 mar 2007 15:04

Re: Rootkit's och elände.

Inläggav KennethE 02 apr 2009 14:18

Hela idén med bittorrent är ju att alla delar ut minst lika mycket som man laddar ner, funkar inte det funkar inte systemet.
Lättjan är uppfinningarnas moder.
KennethE
 
Inlägg: 1361
Blev medlem: 15 dec 2008 16:15
Ort: Lindome

Re: Rootkit's och elände.

Inläggav Matte_J 02 apr 2009 14:27

deepforest skrev:Ett annat elände!
Är det någon som vet hur man stänger av uppladdningsfunktionen i utorrent?

Är det inte bara att göra "limit outgoing bandwidth = 0" eller nåt dylikt?
/Matte
-Yxmeckar bäst i teorin
Matte_J
 
Inlägg: 167
Blev medlem: 25 aug 2008 16:53
Ort: Karlstad

Re: Rootkit's och elände.

Inläggav PowerMizer 02 apr 2009 15:28

Matte_J skrev:Är det inte bara att göra "limit outgoing bandwidth = 0" eller nåt dylikt?
Så funkar det i "Transmission"...
/PowerMizer
P!
Användarvisningsbild
PowerMizer
 
Inlägg: 3801
Blev medlem: 28 mar 2007 15:04

Re: Rootkit's och elände.

Inläggav KennethE 02 apr 2009 16:23

Begränsar man utgående bandbredd brukar man få lägre hastighet inåt också, sådant är inbyggt i protokollet för att undvika fuskare.
Lättjan är uppfinningarnas moder.
KennethE
 
Inlägg: 1361
Blev medlem: 15 dec 2008 16:15
Ort: Lindome

Nästa

Återgå till Länktips

Vilka är online

Användare som besöker denna kategori: Inga registrerade användare och 4 gäster