Ripristino file infetti da rootkit su linux (parte 1)

Nonostante tutte le accortezze, può capitare talvolta di trovarsi il server bucato da qualcuno che non ha niente di meglio da fare nella vita. Premesso che per sicurezza sarebbe sempre meglio una reinstallazione completa del sistema, potrebbe essere necessario “mantenere in vita” la macchina per compiere alcune operazioni o semplicemente salvare i dati. Purtroppo alcuni rootkit (es. SHV4 e SHV5 su linux ubuntu 8.04) hanno la brutta abitudine di patchare e modificare i permessi di alcuni file (/bin/ls /bin/netstat /bin/ps /bin/top ecc…), per cui quando si tenta di ripristinarli ci si trova un bel “Operation not permitted” perchè li hanno impostati come “immutabili”. Quindi, dopo una buona dose di imprecazioni, ecco come fare per controllare i permessi usando il nostro amico lsattr:

# lsattr /bin/ls
s—ia——- ./ls
# lsattr /bin/ps
s—ia——- ./ps
# lsattr /bin/netstat
s—ia——- ./netstat

…e soprattutto la soluzione:

# chattr -sia /bin/ls
# chattr -sia /bin/ps
# chattr -sia /bin/netstat

E per finire… un bel dito medio a tutti gli sviluppatori di rootkit!

Lascia una risposta

L'indirizzo email non verrà pubblicato. I campi obbligatori sono contrassegnati *

È possibile utilizzare questi tag ed attributi XHTML:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code class="" title="" data-url=""> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> <pre class="" title="" data-url=""> <span class="" title="" data-url="">