Enviado em 06/11/2005 - 23:23h
Alguem poderia definir o que seria essa assinatura? Como o rootkit estabelece essa assinatura?
Assinatura de rootkit
Responder tópico2. Re: Assinatura de rootkit
Enviado em 09/11/2005 - 08:21h
Cara .. seja mais expecífico em sua pergunta ...
[]'s
[]'s
3. Re: Assinatura de rootkit
Enviado em 09/11/2005 - 20:48h
assinatura é uma marca especifica de um ataque, os IDSs trabalham em cima disso, por exemplo "../" essa é uma assinatura de um ataque de exame de diretorio, então só um ataque desses (ou outros) utilizam esse comando, para saber mais sobre isso, de uma estuda em regras de IDS
[]'s
[]'s
4. sobre o rootkit
Enviado em 13/11/2005 - 20:46h
Olá Prezados amigos, Desculpem o descaso com a comunidade porém a quantidade de trabalho me fez deixar o vivaolinux um pouco de lado.
Programas como o rkhunter ou chkrootkit trabalham utilizando uma cadeia de "assinaturas" que rootkits deixam pela máquina.
Um exemplo clássico:
Um atacante instala o conhecido suckit 2 LKM rootkit. Bom o suckit modifica a arvore de init do sistema e modifica as chamadas no /proc/kmem deixando assim o mesmo praticamente imperceptivel para nos meros administradores.
Porem ... ele modifica alguns atributos pelo sistema por exemplo .. ele altera o /bin/init e coloca um cara assim /bin/initsk2.
Tambem o init fica com os atributos
-auS para que ele fique imutavel e o admin nao consiga remover... e tambem o tamanho do mesmo modifica assim o md5 gerado pelo sistema nao bate com oq o suckit verifica assim ele alerta o admin exibindo um [FOUND] na tela.
Dai e so fazer um brute-force no /proc para achar os processos do suckit e fazer a limpeza do mesmo.
Espero ter ajudado
Programas como o rkhunter ou chkrootkit trabalham utilizando uma cadeia de "assinaturas" que rootkits deixam pela máquina.
Um exemplo clássico:
Um atacante instala o conhecido suckit 2 LKM rootkit. Bom o suckit modifica a arvore de init do sistema e modifica as chamadas no /proc/kmem deixando assim o mesmo praticamente imperceptivel para nos meros administradores.
Porem ... ele modifica alguns atributos pelo sistema por exemplo .. ele altera o /bin/init e coloca um cara assim /bin/initsk2.
Tambem o init fica com os atributos
-auS para que ele fique imutavel e o admin nao consiga remover... e tambem o tamanho do mesmo modifica assim o md5 gerado pelo sistema nao bate com oq o suckit verifica assim ele alerta o admin exibindo um [FOUND] na tela.
Dai e so fazer um brute-force no /proc para achar os processos do suckit e fazer a limpeza do mesmo.
Espero ter ajudado
Responder tópico
Entre na sua conta para responder.