Valutazione discussione:
  • 0 voto(i) - 0 media
  • 1
  • 2
  • 3
  • 4
  • 5
  Condividi: Facebook Twitter
PCLinuxOS TDE con rootkit dopo personalizzazione
#1
Testato e personalizzato la PCLinuxOS TDE mini, mi ritrovo con 2 segnalazioni di rootkit sulla macchina in VM, dopo aver controllato con Rootkit Hunter.

Citazione:System checks summary
===============

Rootkit checks...
    Rootkits checked : 366
    Possible rootkits: 2
    Rootkit names    : SHV4 Rootkit, SHV5 Rootkit

La versione usata è questa --> community-pclinuxos64-tde-mini-2021.02.iso (del 12-Feb-2021)
prelevata dal sito NLuug: http://ftp.nluug.nl/os/Linux/
ma non è lei la colpevole.

- Andando per ordine...

Ho eseguito ben 4 installazioni pulite, tutte su VM, non riscontrando nessun problema dopo aver aggiornato ed italianizzato la distribuzione cui accenno sopra. Il contagio avviene successivamente, allorquando si vanno ad installare e personalizzare il sistema, ed essendo riuscito a risalire all'origine, vi aggiorno. Tenuto conto che non ho installato nulla fuori da Synaptic, non aggiungendo neppure un wallpaper personalizzato, ho la certezza che il problema si trova nei repository della distro.

Tornando a RKHunter, dopo aver avviato col classico comando suggerito all'installazione (--propupd), aggiorno il database delle firme (--update) e dopo il classico riavvio vado a scannare la mia VM.
Il risultato è la presenza di ben 2 rootkit piuttosto inusuali e datati (SHV4 e SHV5), entrambi annidati nel file:

Citazione:/usr/include/file.h

Cercando nel web non ci sono quasi tracce, se non appunto 2/3 ere informatiche fa (anche se ho trovato il nocciolo della questione), in cui la soluzione proposta è una sola: piallare il Sistema. Cosa che in effetti faccio per ben 3 volte, cercando di volta in volta di anticipare e diversificare i software installati.
In tutti e 4 i casi (installazione ripartendo ogni volta da zero) i casi però l'infezione permane.

A livello di traffico non noto anomalie particolari, tramite l'uso del Netstat, mentre aumenta il consumo di RAM nel post-install tra 500 MB ed 1 GB (questa è la spia che mi ha fatto controllare da subito con l'antirootkit).

Quindi per risolvere e capire da dove arrivi questo file, da Konsole lancio un:
Citazione:rpm -qif /usr/include/file.h

L'output mi segnala il file è associato a questo: "lib64magic-devel".
Manualmente tolgo il file incriminato (il "file.h") e poi da Synaptic purgo quindi quello di installazione (che completo è "lib64magic-devel-5.38-2pclos2020"), che mi va a togliere 3 programmi, di cui 2 installati da me:
- trinity-kipi-plugins
- trinity-kxmleditor
- trinity-tdelibs-devel

Essendo programmi che non ho impellenza d'uso, e comunque destinati ad una macchina interna, opto comunque per la non sua reinstallazione. Nel frattempo, monitorando l'uso della RAM e della Rete, non sussistono particolari problemi (1 settimana di test finora).

- Conclusione:
faccio notare che nessun file e nessuna porta descritta in alcune guide anti-rootkit corrisponde al mio problema, giusto per chiarezza. Non trovando tracce particolari, ho pensato si tratti di una falsa segnalazione di RKHunter, ma nel dubbio, ho preferito riportarvela.

Info trovate, di interesse:
- Dissecting and removing the SHV5 rootkit:
https://kentoyer.com/2009/12/21/removing...5-rootkit/
- Info di Symantec per vari rootkit (SH5):
https://techdocs.broadcom.com/us/en/syma...05454.html
- DevOps & SysAdmins: How can I remove SHV4 / SHV5 rootkits? (soluzione: piallare)
https://www.youtube.com/watch?v=-tO_uDeygSM
Cita messaggio
#2
Rootkit Hunter non è uno scanner antivirus. È un verificatore di integrità. Cioè, non segnala un file come "infetto", ma come "modificato". Questa è una differenza importante perché spiega perché Rootkit Hunter può avviare o interrompere la segnalazione di un file.

Se Rootkit Hunter smette di segnalare un file, ciò potrebbe essere semplicemente perché il database delle proprietà dei file di Rootkit Hunter è stato aggiornato con le nuove proprietà di quel file tramite rkhunter --propupd. Allo stesso modo, se Rootkit Hunter inizia a segnalare un file, potrebbe essere semplicemente perché qualcuno ha eseguito apt-get upgrade e c'era una nuova versione per esso. Nessuno dei due indica direttamente che il file sia o non sia infetto.

Ciao, Mauro
CPU: Intel 6-Core i7-5820K (Haswell rev.2)
nVidia GeForce GTX 750 (drv 525.125.06),  16GB DDR4 RAM
Intel C610/X99 HD Audio / Intel I210 Gigabit Network
Supermicro C7X99-OCE
PCLinuxOS KDE Plasma:5.27.11 Frameworks:5.116.0 Apps:23.08.5
X.org:1.21.1.13 Qt:5.15.6/6.7.3
Kernel:6.6.47-pclos1
Cita messaggio
#3
Buondì footstep11 si, ne conosco l'uso, ma pensavo fosse dovuto appunto ad un marcatore fallato; poi andando sul sito di PCLinuxOs, ho visto che in varie discussioni su RKHunter, molti lo hanno messo in whitelist.
Mi ero un pò preoccupato, perchè è da prima del 2007 che non trovo tracce di rootkit nei mie sistemi Linux (l'ultimo il rootkit nei cd Sony), che tengo sempre maniacalmente controllati, e trovarne 2 in una volta sola mi ha un pò scombussolato.
Grazie per l'intervento, e alla prossima.
Cita messaggio


Vai al forum:


Utenti che stanno guardando questa discussione: 1 Ospite(i)