Rootkitit ja palomuurit

[Qup]

Heips.

Linuxille on rootkittejä ym. tavaraa jotka saattavat iskeä kun on jostain syystä roottina
/ sudona koneella. On käytössä mikä systeemi hyvänsä ei voi luottaa ja toiseksi en halua
tästä koneesta mitään p*skanvälitysbottia.

ClamAV on mutta lähtevän liikenteen palomuuria EI (jos löytyy ilmaisena kokeiluversiona, kertokaa
ihmeessä, en osta enää mitään testaamatta)!

Toisaalta asentaisin mielenkiinnosta vaikka f-securen demon, kun se oikein yhden firman
puolesta lähetettiin ja näkyipä tuo olevan imuroitavanakin (30 pv demo).

Asennusohjeet ovat ihan ufoa ja paketti on tgz.

Miten alkuun, jos viitsitte neuvoa, jos ei ole muuta neuvoa kuin "ei sitä tartte, plah plah" niin
älkää kuluttako näppistänne, niitä ketjuja näkyy olevan riittämiin. Aivan kuin Linuxia EI SAISI
suojata millään lisäturvalla!?

Kiitos, jos joku viittii tai on homman tehnyt, juttu lienee simple mutta kun ei osaa/hoksaa!

[moonstone]

Aivan kuin Linuxia EI SAISI
suojata millään lisäturvalla!?

Saa, mutta se on turhaa.

www.chkrootkit.org

Tuolla voi tarkastella löytyykö rootkittejä.

[Vapaan koodin kananmuna]

Heips.

Linuxille on rootkittejä ym. tavaraa jotka saattavat iskeä kun on jostain syystä roottina
/ sudona koneella. On käytössä mikä systeemi hyvänsä ei voi luottaa ja toiseksi en halua
tästä koneesta mitään p*skanvälitysbottia.

ClamAV on mutta lähtevän liikenteen palomuuria EI (jos löytyy ilmaisena kokeiluversiona, kertokaa
ihmeessä, en osta enää mitään testaamatta)!

Toisaalta asentaisin mielenkiinnosta vaikka f-securen demon, kun se oikein yhden firman
puolesta lähetettiin ja näkyipä tuo olevan imuroitavanakin (30 pv demo).

Asennusohjeet ovat ihan ufoa ja paketti on tgz.

Miten alkuun, jos viitsitte neuvoa, jos ei ole muuta neuvoa kuin "ei sitä tartte, plah plah" niin
älkää kuluttako näppistänne, niitä ketjuja näkyy olevan riittämiin. Aivan kuin Linuxia EI SAISI
suojata millään lisäturvalla!?

Kiitos, jos joku viittii tai on homman tehnyt, juttu lienee simple mutta kun ei osaa/hoksaa!

Jos haluat lähtevää liikennettä suodattaa niin hanki esim. ohjelma firestarter jolla pääset helposti kiinni palomuurin säätöihin. Firestarterissa voit sitten asettaa ulospäin menevän liikenteen oletuksena tukkoon ja reijität sitä sitten mielesi mukaan.

[raimo]

He jo vastasivatkin, mutta koska kirjoitin jo, jne...

1. chkrootkit (mikä se toinen oli) kannattaa ajaa aika-ajoin, varmuudeksi.
Tässäpä siihen komento (koko juttu yhdellä kerralla terminaaliin):

Koodia: [Valitse]

sudo apt-get -y install chkrootkit && sudo chkrootkit && sudo apt-get -y remove --purge chkrootkit
Tuo komento asentaa sen, ajaa sen, ja lopuksi poistaa sen asetuksineen jotta mahdollinen mörkö ei pääse säätämään sen asetuksia yms. mieleisikseen jo ennalta. Siksi sitä ei siis pidä jättää asennetuksi.

Bash -alias tuolle asialle:

Koodia: [Valitse]

alias checkrootkit='sudo apt-get -y install chkrootkit && sudo chkrootkit && sudo -y apt-get remove --purge chkrootkit'

2. Virukset, lähinnä sen takia että et edelleenvälitä Windows koneisiin vaikkapa mailia edelleen lähettäessäsi voi ajatella vaikka ClamAV ohjelmaa, muuten sitä ei näillä näkymin tarvita ollenkaan.

3. Lähtevän liikenteen palomuuri? hmm, linuxin sisällä asuu hyvä netfilter/iptables -palomuuri jo oletuksena.
Ubuntussa se on kytkettynä "pois päältä", koska oletuksena kuuntelevia palveluita ei ole.
Ohjetta sen käsin säätämiseen HowTo alueella.

Canonical (Ubuntua "rahoittava" yritys) jakaa jotakin versiota Pandan tietoturvapaketista, ehkäpä siihen sitten kannattaa tutustua jos maksullisia lisäohjelmia ko. asiaan haluaa.

Korostan sitä nyt tässä, että ko. maksullisten osien käyttämiseen ei ole mitään tarvetta. netfilter/iptables hoitaa hommelin täysin riittävästi. Mutta jos haluaa silti käyttää vaikkapa tuota Pandaa, niin tottahan sitä saa käyttää.

Peruskäyttäjälle Firestarter tai Guarddog (ilmaisia netfilter/iptables säätötyökaluja) on täysin riittävä ratkaisu,
ja käsisäätö niille jotka Firestarteria tms. eivät halua käyttää.

F-securesta en tiedä mitään, *.tgz on gzip pakattu tar-pallo.

Se F-Securelta saamasi paketti ensin puretaan, ja mitä luultavammin, näin syntyvästä hakemistosta löytyy jonkinlainen asennusohjelma jolla se asennetaan.

Komennot esimerkkiä mukaellen:

Koodia: [Valitse]

cd
tar -xzvf F-Secure_1_2.tgz
cd F-Secure_1_2
#lue README ja INSTALL tässä välisää
sudo ./fsecure-installer
cd -komento siirtää sinut kotihakemistoosi.
tar -xzvf PAKETIN_NIMI -komento luo hakemiston ja purkaa paketin sinne
cd HAKEMISTONIMI siirtää sinut ko. hakemistoon

Huom. keksin nuo paketin-nimet ja installerin käynniskäskyn omasta päästäni, muuta ne todellisuutta vastaaviksi.

Komento cd F-Secure_1_2 siirtää sinut ko. hakemistoon, muuta F-Secure_1_2 oikeaksi, se on sama kuin paketin nimi josta on poistettu .tgz (.tar.gz) perästä.

Katso sitten hakemiston sisältö komennolla ls -l, jos F-Secure vähänkään noudattaa yleisiä tapoja,
hakemistossa on README ja INSTALL tiedostot, lue ne ensin huollellisesti, ja aja sitten "asennusohjelma".
Joka löytyy tuolla ls -l komennolla.

Saattaa olla että joudut muuttamaan ko. installeri oikeudet ajettaviksi:
Komento chmod 755 fsecure-installer tekee sen, ja huomaa ./ -merkit ajokomennon edessä,
ne pitää olla silloin kun jotakin ajetaan samasta hakemistosta jossa itse ollaan.

Mitä luultavammin ko. asennus on suoritettava root-oikeuksin, joten muista sudo komennon eteen.

Ellei onnistu, liitä listaus ko. paketista tänne niin ihmetellään yhdessä.
Paketin sisältölistauksen saat komennolla tar tvf F-Secure_1_2.tgz


Yritän kaivella esille miten se Canonicalin Panda-paketti asennetaan, hetkinen...
edit: kas näin:
editoi tiedostoa /etc/apt/sources.list eli terminaaliin komento sudo gedit /etc/apt/sources.list
Lisää sinne rivi:

Koodia: [Valitse]

deb http://archive.canonical.com/ubuntu/ dapper-commercial main

Komenna sitten
sudo apt-get update
sudo apt-get install desktopsecure

Nyt Panda DesktopSecure for Linux asentuu ja varmaankin lähtee toimimaankin.

Tässä ko. paketin kuvaus:

Koodia: [Valitse]

Description: Panda DesktopSecure for Linux
 Panda DesktopSecure for Linux is a security suite including:

 Firewall protection. Protection against network attacks, not only at the
 network layer but also at the application layer. It detects which application
 is using the network and asks the user whether to grant or deny the access to
 it.

 Antivirus protection. Protects the computer against all types of viruses, worms and Trojans, in both Linux and Windows (if the computer is used as a Windows
 file server for example).

 Protection against unknown malware. This system includes detection of unknown
 malware using heuristic technology.

 Permanent and on-demand mail protection. Protects your mail accounts from
 different types of malware that can reach your computer or protect the
 end-users from malicious messages sent from your system.

 XWindow console to easily configure the settings of the product.

Tästä eteenpäin ei ole tietoa minulla, eikä tule, koska en varmasti asenna tuota itselleni!

[janne]

Linuxille on rootkittejä ym. tavaraa jotka saattavat iskeä kun on jostain syystä roottina
/ sudona koneella.

no ei. siis rootkit/mato saatetaan saada asennettua koneelle jos koneella on jotain huonosti konffattuja ulkoista verkkorajapintaa kuuntelevia palveluita tai jos sellaisen itse asentaa. se, että on kirjautuneena rootiksi ei tarkoita, että rootkitin asentumisesta itsekseen olisi mitään vaaraa.

On käytössä mikä systeemi hyvänsä ei voi luottaa

pelkästään se, että ubuntussa ei ole rootin tunnus aktiivinen, vähentää ulkoisten hyökkäysten onnistumisen mahdollisuutta merkittävästi. jos jotain pääsiskin koneelle, niin sillä pitäisi olla käytössä joku local exploitti jolla saisi rootin oikeudet, koska tavallisena käyttäjänä ei aleta brute forcella murtamaan salasanoja (ajan ja shadow-tiedoston vuoksi).

ja toiseksi en halua  tästä koneesta mitään p*skanvälitysbottia.

ihan hyvä tavoite.

ClamAV on mutta lähtevän liikenteen palomuuria EI (jos löytyy ilmaisena kokeiluversiona, kertokaa ihmeessä, en osta enää mitään testaamatta)!

linuxin palomuuri voi toki estä myös liikennettä ulospäin, mutta ei tee sitä sovelluskohtaisesti. toki voit halutessasi tarkailla verkkoliikennettä ja katsoa mitkä ohjelmat ottavat yhteyttä verkkoon, jos välttämättä haluat tehdä niin.

Toisaalta asentaisin mielenkiinnosta vaikka f-securen demon, kun se oikein yhden firman
puolesta lähetettiin ja näkyipä tuo olevan imuroitavanakin (30 pv demo).

ymmärrät kai, että sen enempää clamav kuin f-securekaan ei tunnista mitään linux-viruksia, vaan en on tarkoitettu palvelinkoneille tunnistamaan windows-virukset (jotka eivät voi toimia linuxissa) ennen kuin sisältö jaetaan verkossa oleville windows-koneille?

toki noitakin saa ajaa, vaikka useampaa samaan aikaan jos se saa olon tuntumaan turvalliselta.

Miten alkuun, jos viitsitte neuvoa, jos ei ole muuta neuvoa kuin "ei sitä tartte, plah plah" niin
älkää kuluttako näppistänne, niitä ketjuja näkyy olevan riittämiin. Aivan kuin Linuxia EI SAISI
suojata millään lisäturvalla!?

kulutin silti näppistäni, sillä joku voi saada viestistäsi käsityksen, että jotain virus-scannereita oikesti tarvittaisiin. se ei todellakaan pidä paikkaansa. sattumoisin linuxin palomuuri on myös yksi parhaista saatavilla olevista ja *NIXien oikeuksienhallinta tuo järjestelmään vielä lisäturvaa.

ainoat todellisen uhan aiheuttajat ovat huonosti konffatut (internettiin auki olevat) palvelut ja koneen käyttäjät.

toki linuxia silti saa suojata vaikka niiden windows-virusten varalta, jos niin tahtoo ja siitä saa vaikka halutessaan maksaakin.

rootkittien tarkistamiseen on raimon mainitseman chkrootkitin lisäksi ainakin rkhunter.

[janne]

1. chkrootkit (mikä se toinen oli) kannattaa ajaa aika-ajoin, varmuudeksi.
Tässäpä siihen komento (koko juttu yhdellä kerralla terminaaliin):

Koodia: [Valitse]

sudo apt-get -y install chkrootkit && sudo chkrootkit && sudo apt-get -y remove --purge chkrootkit
Tuo komento asentaa sen, ajaa sen, ja lopuksi poistaa sen asetuksineen jotta mahdollinen mörkö ei pääse säätämään sen asetuksia yms. mieleisikseen jo ennalta. Siksi sitä ei siis pidä jättää asennetuksi.

minusta tämä käytäntö on huonompi kuin se, että antaisi sen olla asennettuna ja pyörittäisi sitä vaikka cronin avulla päivittäin. chkrootkit kuitenkin tarkastaa mm. sovellusten tarkistussummia ja jos koneella on pahis joka on oikeasti päässyt käyttämään konetta rootin oikeuksin, on hänen ollut paljon helpompi muuttaa niitä tarkistussummia mieleisiskiseen.

heikoin kohta turvalliseksi konffatussa järjestelmässä lienee se, jos joku onnistuu murtautumaan koneelle jossa on distron omat pakettivarastot ja saa ujutettua mukaan oman pakettinsa oikealla allekirjoituksella varustettuna. sitä voi olla aika hankala tunnistaa ennen kuin murtautuminen käy ilmi.

[raimo]

Joo, noinkin se varmasti on.

rkhunter se oli/on se toinen vastaava, mutta en tykkää siitä koska se jostakin ihmeen syystä asentaa (Ubuntussa ainakin) myös mailx:n ja postfix:n. Kun en mitenkään keksi että miten Postfix ja mailx liittyy rootkitteihin?  Postfix on sendmail:ia vastaava, uudempi systeemi, ja mailx on "postinlukija" komentoriville.

edit, jaa janne jo mainitsikin tuon rkhunterin, empäs huomannut koko asiaa, no olkoon tämä tuon postfix ihmettelyn takia silti tässä.

[janne]

rkhunter se oli/on se toinen vastaava, mutta en tykkää siitä koska se jostakin ihmeen syystä asentaa (Ubuntussa ainakin) myös mailx:n ja postfix:n. Kun en mitenkään keksi että miten Postfix ja mailx liittyy rootkitteihin?  Postfix on sendmail:ia vastaava, uudempi systeemi, ja mailx on "postinlukija" komentoriville.

veikkaan, että postfix asennetaan siksi, että löytäessään jotain epäilyttävää rkhunter lähettäisi postia asiasta rootille ja on päättänyt käyttää hommaan postfixiä. tuo toinen sitten lienee sen paikallisen postin lukemista varten...

[raimo]

veikkaan, että postfix asennetaan siksi, että löytäessään jotain epäilyttävää rkhunter lähettäisi postia asiasta rootille ja on päättänyt käyttää hommaan postfixiä. tuo toinen sitten lienee sen paikallisen postin lukemista varten...

Niin se varmasti on, varsin luonnollinen ja hyväksyttäväkin selitys itseasiassa.

Tykkäänkin rkhunter:ista, se osaa lähettää rootille mailia jos on aihetta.
sudo apt-get install rkhunter
sitten ilmenee sininen Postfix-konfiguraatiojuttu, johon valitsin Local only,
koska mailinlähetykseen ulos ei ole tarvetta eikä etenkään toivetta että moinen edes olisi mahdollista.
ja hostiksi localhost
jonka jälkeen komento sudo rkhunter --checkall ja tarkistus käynnistyy...

[moonstone]

Kuinka yleisiä nämä rootkitit ovat? Montako niitä on ja miten ne leviävät? Pitääkö tehdä tinahattu ja alkaa se päässä skannailemaan joka tunti noilla työkaluilla?

[raimo]

Kuinka yleisiä nämä rootkitit ovat? Montako niitä on ja miten ne leviävät? Pitääkö tehdä tinahattu ja alkaa se päässä skannailemaan joka tunti noilla työkaluilla?

Yleisyydestä tai määrästä en tiedä, mutta niitä on, ja ne lisääntyy.
Tuossa on jonkinlainen listaus: http://www.ossec.net/rootkits/
Alimpana sivulla on kasa hyviä linkkejä.

Nuo listatut kai tämä hiukan kovempi systeemi löytää: http://www.ossec.net/
Dapper-Howto tuosta: http://doc.gwos.org/index.php/Setup_OSSEC-HIDS

Paras rootkit-testeri lienee järjestelmänsä tunteva admini/käyttäjä.
Jos verkkoledi vilkkuu hulluna ilman mitään järjellistä syytä, asiat nykii, tai muuttuu kuin itsestään, jne.
Vainoharhainen ei kannata olla, mutta varovainen/ennalta varutuva sen sijaan kylläkin, ainakin jossakin määrin.

[Qup]

Ei muuta kun kiitokset taas.

Aiheuttipas aihe melko paljon juttua!

Tässä on mulla vaan mielessä valmistautuminen tulevaisuuteen, jos ja kun
linux yleistyy sille aletaan taatusti vääntämään jos jonkilaista kiusaa ja
vakoilutarkoituksissa etupäässä.

Sikäli halusinkin herättää vähän keskustelua, jottei nukuta Ruususen unta.

Tietysti tuosta winukan aiheuttamasta paranoiasta pääseminen vie aikansa,
kun todellakin meni eräskin pätkä aikaa koneen siivoomiseen joka päivä,
millolin mistäkin. En viitsi edes luetella (kun ne on useimmilla tiedossa) mikä
riesa tuli esim. jonkun win -päivityksen keskeytymisestä, vaikka oli kuinka imaget
otettuina.

[moonstone]

Tässä on mulla vaan mielessä valmistautuminen tulevaisuuteen, jos ja kun
linux yleistyy sille aletaan taatusti vääntämään jos jonkilaista kiusaa ja
vakoilutarkoituksissa etupäässä.

Vakoiluhan on hyvin pitkälti hyväksyttyä ainakin ohjelmistoissa Windows XP. Sehän soitteleepi "kotiin" monessa yhteydessä. Myös Media Player soittaa kotiin.
Sitten vakoilusta vielä sen verran, että mm. SPSS ohjelma vaatii joka asennuskerrassa "soiton kotiin" ja näin varmistaa, ettei vaan käytellä ilman lupia. Sitten joutuu selittelemään levyn rikkoutuessa SPSS ohjelmiston asiakastukeen miksi taas pitää asentaa eikä makseta. Miten tuollainen voi olla edes hyväksyttävää?

[janne]

Kuinka yleisiä nämä rootkitit ovat?

mikä nyt sitten on yleistä...

Montako niitä on ja miten ne leviävät?

onhan niitä toki useampi ja yleensä ne varmaan leviävät jonkun madon tai muun vastaavan automatisoidun hyökkäyksen kautta. mato saastuttaa koneen, lähettää siitä tietoa hyökkäyksen aloittajalle ja alkaa scannaamaan muita koneita. matojen leviämisen edellytyksenä on tosiaan huonosti konffatut palvelut tai tietoturva-aukot hyvin konffatuissa palveluissa. noista edellinen on tietysti huomattavasti yleisempää varsinkin kun patchit tulevat melko nopeasti. siksi periaatteessa suosittelenkin mielummin ssh/scp/sftp -systeemejä kuin jotain anonyymi ftp-virityksiä.

myös koneelle oikeasti pääsevät käyttäjät ovat tietyntasoinen uhka ja tietysti ylläpitäjä joka asentaa hämäräperäisiä paketteja.

Pitääkö tehdä tinahattu ja alkaa se päässä skannailemaan joka tunti noilla työkaluilla?

molemmat työkalut taitavat scannailla automaattisesti itsekseenkin, enkä ainakaan minä ole vielä törmännyt yhteenkään rootkittiin, joten en pitäisi sitä kovin suurena uhkana. mainittakoon nyt kuitenkin, että webbiserverini ssh-palvelimelle tulee päivittäin satoja kolkutteluja. arvattavissa oleva käyttäjätunnus, yhdistettynä helppoon salasanaan (tai public key authenticationin puutteeseen) saattaisi hyvinkin olla tietoturvariski.

[audi]

Tämä on vanha aihe, mutta en viitsinyt aloittaa uutta. Rkhunter ilmoitti näin:

"Please inspect:  /etc/.java (directory)  /dev/.static (directory)  /dev/.udev (directory)  /dev/.initramfs (directory)"
"Your system contains some unknown version numbers. Please run Rootkit Hunter with the --update parameter ..."

Onko ilmoituksella merkitystä? Miten niitä voi tutkia ja mistä tietää poistettavat tiedostot?

[Jakke77]

juup ajelin ihan mielenkiinnolla tuon chrootkit ohjelman ja sieltä löyty joku ihme asia mikä alko mietityttyy

Checking `sniffer'... lo: not promisc and no packet sniffer sockets
eth0: PACKET SNIFFER(/sbin/dhclient3[4895])

onkohan tuo joku vaarallinen ja jos on ni saako sen poijes jotenki, pikasesti googlettamalla löyty että se on joku salasanan haistelija...

[Toni Alenius]

sniffer=nuuskija

[mk1970]

eth0: PACKET SNIFFER(/sbin/dhclient3[4895])

Ihan aluksi: kaikki on kunnossa!

/sbin/dhclient3 on ohjelma joka hakee sinulle dynaamisen IP-osoitteen (DHCP client). Se avaa verkkokortin ns. promiscuous tilaan (katso "man ifconfig" -komennolla lisätietoa) jotta se saa kaiken verkkokortin kuuleman liikenteen itselleen, aluksihan verkkokortilla ei ole IP-osoitetta eli kaikkea on kuunneltava jotta DHCP palvelimelta tuleva liikenne saadaan käsiteltyä.

[Jakke77]

pitihän se tuo rkhunterki testata ja kaikki näytti nii hyvältä mutta lopussa alko löytyy jotain ja pari punasta warning kohtaaki ilmesty onko tämä jo "vaarallista"

Koodia: [Valitse]

Checking the local host...

  Performing system boot checks
    Checking for local host name                             [ Found ]
    Checking for local startup files                         [ Found ]
    Checking local startup files for malware                 [ None found ]
    Checking system startup files for malware                [ None found ]

  Performing group and account checks
    Checking for passwd file                                 [ Found ]
    Checking for root equivalent (UID 0) accounts            [ None found ]
    Checking for passwordless accounts                       [ None found ]
    Checking for passwd file changes                         [ None found ]
    Checking for group file changes                          [ None found ]
    Checking root account shell history files                [ None found ]

  Performing system configuration file checks
    Checking for SSH configuration file                      [ Not found ]
    Checking for running syslog daemon                       [ Warning ]
    Checking for syslog configuration file                   [ Found ]
    Checking if syslog remote logging is allowed             [ Not allowed ]

  Performing filesystem checks
    Checking /dev for suspicious file types                  [ Warning ]
    Checking for hidden files and directories                [ Warning ]

[Press <ENTER> to continue]


Checking application versions...

    Checking version of Exim MTA                             [ OK ]
    Checking version of GnuPG                                [ OK ]
    Checking version of OpenSSL                              [ OK ]


System checks summary
=====================

File properties checks...
    Files checked: 122
    Suspect files: 0

Rootkit checks...
    Rootkits checked : 109
    Possible rootkits: 0

Applications checks...
    Applications checked: 3
    Suspect applications: 0

The system checks took: 4 minutes and 2 seconds

All results have been written to the logfile (/var/log/rkhunter.log)

One or more warnings have been found while checking the system.
Please check the log file (/var/log/rkhunter.log)


[mk1970]

onko tämä jo "vaarallista"

One or more warnings have been found while checking the system.
Please check the log file (/var/log/rkhunter.log)

Mitä tuolla lokitiedostossa on noihin piilotiedostoihin ja /dev:iin liittyen?