Sida 1 av 2

Rootkit's och elände.

InläggPostat: 31 mar 2009 21:37
av PowerMizer
Satt här i eftermiddag och fördjupade mej i hur rootkit funkar och hur man hittar/tar bort dom.
När jag körde WinXP fick jag ett (?) rootkit i datorn som jag inte fick bort. Inget AV och ingen brandvägg hittade det, men det fanns där. Namnet på det fick jag fram med nått RK-letar-progg som jag hittade i nån avlägsen del av internet. Riktigt läskigt! Jag hittade aldrig rootkitet och fick såklart inte bort det heller... Det hela slutade med att jag flashade om bios, lågnivåformaterade HD'n och installerade XP på nytt. Då var det lungt.

Nu är jag äldre och klokare (jag kör alltså Linux! 8) ), men fick för mej att scanna efter rootkit. I Linux (Ubuntu/Debian) är det riktigt enkelt:
Kod: Markera allt
sudo apt-get install chkrootkit rkhunter
sudo chkrootkit
sudo rkhunter
Sen är det klart!

Jag fick en varning:
Kod: Markera allt
[20:58:44] /usr/sbin/unhide                                  [ Warning ]
[20:58:44] Warning: The file '/usr/sbin/unhide' exists on the system, but it is not present in the rkhunter.dat file.
När jag kollar upp detta på nätet (det var inget allvarligt) så trillade jag över detta:
BTW this should be interesting lecture too for you: default backdoor on motherboards

En artikel om att Kineserna kan ha stoppat in små spionchip i varenda moderkort!
The myth: Chinese intelligence services have concealed a microchip in every computer everywhere, programmed to “call home” if and when activated.

The reality: It may actually be true.

All computers on the market today — be they Dell, Toshiba, Sony, Apple or especially IBM — are assembled with components manufactured inside the PRC. Each component produced by the Chinese, according to a reliable source within the intelligence community, is secretly equipped with a hidden microchip that can be activated any time by China’s military intelligence services, the PLA.

“It is there, deep inside your computer, if they decide to call it up,” the security chief of a multinational corporation told The Investigator. “It is capable of providing Chinese intelligence with everything stored on your system — on everyone’s system — from e- mail to documents. I call it Call Home Technology. It doesn’t mean to say they’re sucking data from everyone’s computer today, it means the Chinese think ahead — and they now have the potential to do it when it suits their purposes.”

Dax att citera mej själv: "Du.... Du behöver aldrig vara lugn!"

Re: Rootkit's och elände.

InläggPostat: 31 mar 2009 22:40
av KennethE
Det enda sättet att vara verkligt säker på att skydda sig mot alla rootkit är genom att boota datorn från en live-CD och scanna därifrån, och inte ens då kan man hitta dem ifall de finns i chip på moderkortet.

Det är jäkligt konstigt att inte antivirustillverkarna tillhandahåller live-CD med Linux och deras antivirusprogram i linuxversion för scanning av Windowsdatorer.

Re: Rootkit's och elände.

InläggPostat: 01 apr 2009 06:55
av Karro
Med tanke på att H-rotorerna från Kinesiska militären inte fungerar sådär jättebra, tror jag nog inte de inbyggda microchipen fungerar så bra heller. Så tror jag inte de kan läsa filsystemet ext3, så, de får nog tji där. Sedan kan man fråga sig hur de har tänkt sig ta sig förbi brandväggen.

Jag suttit några dagar för att av olika skäl fippla med linux för att få en brandvägg och routing och vpn att fungera sådär för första april. Under hela processen, som för övrigt inte var speciellt enkel, så noterade jag mängden skräpkommunikation som kom till min dator, utan att jag bett om det. Jag kollade upp lite grand vad det kunde vara, och en stor del kommer från virus eller trojaner. Att ha windows-dator utan brandvägg, är som att gå ut i regnväder utan regnväder och tro att man inte ska bli våt. En linux-dator är för det mesta regnsäker.

Efter att ha provat alla grafiska brandväggsprogram som jag kunde hitta och funnit att de inte kunde göra det jag ville göra, skrev jag till slut min brandvägg i rå iptables. Lite småparanoid har jag börjat bli med IPRED och all skräpkommunikation, så min brandväggsdator går allt mer från att vara öppen till att endast kunna göra exakt vad jag bett om och inget annat.

Re: Rootkit's och elände.

InläggPostat: 01 apr 2009 09:52
av KennethE
Jag satte upp mina brandväggsregler genom att utgå ifrån en fil från http://dotfiles.com/ som jag sedan redigerade så att den passade mig. Det är ofta lättast att ha något fungerande att utgå ifrån och söka upp de kommandon som använts i dokumentationen i stället för att försöka leta där efter hur man åstadkommer det man vill.

Det var förmodligen den här jag utgick ifrån.

Sedan kan det vara värt att titta på fail2ban som i alla fall för debian finns som paket så att det är lätt att installera. Det finns också gott om tutorials på nätet för hur man sätter upp den för att övervaka olika saker.

Re: Rootkit's och elände.

InläggPostat: 01 apr 2009 10:44
av Karro
Jag försökte olika sådana vägar, men gav till slut upp med det. Min brandvägg är baserad på exempelbrandväggen i "iptables tutorial". Det jag vill göra, som tydligen är väldigt udda, är att leda olika typer av trafik olika vägar. Jo, det står lite här och där typ - gör ungefär såhär - men tyvärr räcker inte ungefär, utan det är exakt som gäller.

Re: Rootkit's och elände.

InläggPostat: 02 apr 2009 10:40
av PowerMizer
Karro skrev:Det jag vill göra, som tydligen är väldigt udda, är att leda olika typer av trafik olika vägar.
He... Det är som att detta forum lockar folk som gör saker på ett otraditionellt sätt. :lol:
Har du kollat in färdiga system som Smoothwall, IPCop, Gibraltar(går att få personlig licens gratis) m.fl? Ofta kan man sätta upp flera interface och reglera olika trafik på olika kort/IP-nr... Jag vet ju inte vad du pysslar med, men går det att konfigurera med grafiskt webbgränssnitt så föredrar jag det!

Re: Rootkit's och elände.

InläggPostat: 02 apr 2009 11:04
av Karro
Jag kör linux och på en gammal dator. Datorn gör dessutom lite andra saker, som web-server, fil-server ochvaddetnukanvara.
Hursomhelst, problemet är löst. Nu kan jag relakksa.

Re: Rootkit's och elände.

InläggPostat: 02 apr 2009 11:58
av KennethE
Dessutom har du lärt dig en massa på kuppen. :-)

Re: Rootkit's och elände.

InläggPostat: 02 apr 2009 12:01
av deepforest
Ett annat elände!
Är det någon som vet hur man stänger av uppladdningsfunktionen i utorrent?

Re: Rootkit's och elände.

InläggPostat: 02 apr 2009 12:03
av PowerMizer
Karro skrev:Nu kan jag relakksa.
:mrgreen: :mrgreen: :mrgreen:
deepforest skrev:Är det någon som vet hur man stänger av uppladdningsfunktionen i utorrent?
Ehhh...?? Kör inte Windows, men det kan ju inte vara så svårt?! Går det inte att välja att avbryta delning på enskilda filer heller?

Re: Rootkit's och elände.

InläggPostat: 02 apr 2009 12:10
av PowerMizer
µTorrent finished downloading, but now it says it's Seeding. What does that mean?

Seeding is where you leave your BitTorrent client open after you've finished your download to help distribute it (you distribute the file while downloading, but it's even more helpful if you continue to distribute the full file even after you have finished downloading). Chances are that most of the data you got was from seeds, so help give back to the community! It doesn't require much - µTorrent will continue seeding until the torrent is removed (right click the torrent, then hit Remove). Proper practice is to seed until the ratio of upload:download is at least 1.00.


Aha... Dom "tvingar" dej att hjälpa nätverket genom att alltid ladda upp filer....

Re: Rootkit's och elände.

InläggPostat: 02 apr 2009 14:18
av KennethE
Hela idén med bittorrent är ju att alla delar ut minst lika mycket som man laddar ner, funkar inte det funkar inte systemet.

Re: Rootkit's och elände.

InläggPostat: 02 apr 2009 14:27
av Matte_J
deepforest skrev:Ett annat elände!
Är det någon som vet hur man stänger av uppladdningsfunktionen i utorrent?

Är det inte bara att göra "limit outgoing bandwidth = 0" eller nåt dylikt?

Re: Rootkit's och elände.

InläggPostat: 02 apr 2009 15:28
av PowerMizer
Matte_J skrev:Är det inte bara att göra "limit outgoing bandwidth = 0" eller nåt dylikt?
Så funkar det i "Transmission"...

Re: Rootkit's och elände.

InläggPostat: 02 apr 2009 16:23
av KennethE
Begränsar man utgående bandbredd brukar man få lägre hastighet inåt också, sådant är inbyggt i protokollet för att undvika fuskare.