Notícia da existência de rootkits na RCTS

: Categoria: Notícias; quarta, 09 abril 2003 15:58

Chegou até nosso conhecimento de que poderão ter sido instalados "rootkits" (para entradas não autorizadas com privilégios de super-utilizador), em alguns sistemas da RCTS. Chegou até nosso conhecimento de que poderão ter
sido instalados "rootkits" (para entradas não
autorizadas com privilégios de super-utilizador), em alguns sistemas da RCTS.

Sugere-se que sejam efectuadas acções de inspecção dos sistemas informáticos em busca de rootkits, e em especial do "sucKIT". Este rootkit terá capacidades de escuta de passwords.

No URL seguinte pode encontra-se uma lista de verificações a fazer com o objectivo de verificar se os sistemas estão comprometidos.

http://www.cert.org/tech_tips/intruder_detection_checklist.html

O seguinte fragmento de texto poderá ajudar a determinar se o sucKIT está ou não instalado:

- -----------
Just run:
# ls -li /sbin/init /sbin/telinit

Here is the output on a normal machine:
304579 -rwxr-xr-x 1 root root 26920 Mar 14 2002 /sbin/init*
304587 lrwxrwxrwx 1 root root 4 Dec 2 13:18 /sbin/telinit
-> init*

Here is the output on a compromised machine:
85133 -rwxr-xr-x 1 root root 25636 Mar 26 20:03 /sbin/init
85133 -rwxr-xr-x 1 root root 25636 Mar 26 20:03 /sbin/telinit

In the second case, telinit is a real file (not a symlink) and its time is the time of the rootkit installation. Note also the incorrect information: both files have the same inode number but a reference count of one, this comes from the kernel module hiding the real information.
- -----------

Autenticação Federada

Missão

O CERT.PT tem como missão contribuir para o esforço de cibersegurança nacional nomeadamente no tratamento e coordenação da resposta a incidentes, na produção de alertas e recomendações de segurança e na promoção de uma cultura de segurança em Portugal.

PT EN