Ripristino file infetti da rootkit su linux (parte 1)

Nonostante tutte le accortezze, può capitare talvolta di trovarsi il server bucato da qualcuno che non ha niente di meglio da fare nella vita. Premesso che per sicurezza sarebbe sempre meglio una reinstallazione completa del sistema, potrebbe essere necessario “mantenere in vita” la macchina per compiere alcune operazioni o semplicemente salvare i dati. Purtroppo alcuni rootkit (es. SHV4 e SHV5 su linux ubuntu 8.04) hanno la brutta abitudine di patchare e modificare i permessi di alcuni file (/bin/ls /bin/netstat /bin/ps /bin/top ecc…), per cui quando si tenta di ripristinarli ci si trova un bel “Operation not permitted” perchè li hanno impostati come “immutabili”. Quindi, dopo una buona dose di imprecazioni, ecco come fare per controllare i permessi usando il nostro amico lsattr:

# lsattr /bin/ls
s—ia——- ./ls
# lsattr /bin/ps
s—ia——- ./ps
# lsattr /bin/netstat
s—ia——- ./netstat

…e soprattutto la soluzione:

# chattr -sia /bin/ls
# chattr -sia /bin/ps
# chattr -sia /bin/netstat

E per finire… un bel dito medio a tutti gli sviluppatori di rootkit!

Lascia un commento

Il tuo indirizzo email non sarà pubblicato.

You may use these HTML tags and attributes:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> 

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.