mikrocontroller.net

Forum: PC Hard- und Software Mint 17: Suckit rootkit eingefangen?


Autor: Uhu U. (uhu)
Datum:
Angehängte Dateien:

Bewertung
0 lesenswert
nicht lesenswert
Mir ist eben bei Untersuchen einer Mail mit Link auf eine verdächtige 
Seite was dummes passiert:

Ich habe das js-Fragment
acteda=27; actedb=[131,143,143,139,85,74,74,130,138,138,127,135,132,137,128,142,142,72,79,129,124,143,125,144,141,137,142,73,146,138,141,135,127,74,90,124,88,79,75,76,78,78,81,65,126,88,126,139,126,127,132,128,143,65,142,88,75,79,76,77,77,75,76,82]; actedc=""; for(actedd=0;actedd<actedb.length;actedd++) { actedc+=String.fromCharCode(actedb[actedd]-acteda); }
im Debugger des FF laufen lassen, um den Link in Klartext zu bekommen. 
So weit so gut, nur habe ich dann aus versehen auf das Ergebnis 
http://automishka.com/.../mick.php in der Debugconsole geklickt, statt 
den Text zu markieren und schwupps ging die Seite auf.

Ein anschließendes rkhunter --check brachte keine verdächtigen 
Diagnosen, aber chkrootkit meldet
Searching for Suckit rootkit...              Warning: /sbin/init INFECTED
rkhunter meinte zum Thema Suckit:
Suckit Rootkit                               [ Not found ]

Ich habe dann /sbin/init auf virustotal hochgeladen und bekomme vom Scan 
alles grün, also keine Infektion. Allerdings meinen unter 
https://www.virustotal.com/#/file/caf692e3d1bccfc7... 
3 Anwender, init sei unsicher, während 6 sie für sicher halten.

Es steht der folgende Kommentar dabei:
Profile Picture

PayloadSecurity

2017-10-27

submitname:"caf692e3d1bcelf.bin"
vxstream-threatscore:0/100
whitelisted:true
memurl:"Heuristic match: upstart-devel@lists.ubuntu.com,Heuristic match: .data.rel.ro"
source:https://www.hybrid-analysis.com/sample/caf692e3d1bccfc703efe278df0f7832c120d82092242c7f4aacfde5cfb9fd22?environmentId=300

Wenn man den Properties von /sbin/init in Mate glauben darf, wurde init 
zu der Zeit zugergriffen, als mir das Malheur passierte, das 
Änderungsdatum ist allerdings im sicheren Bereich - siehe Anhang.

Das sieht wohl am ehesten nach einem falschen Alarm von chkrootkit, oder 
liege ich da falsch?

Autor: Dr. Sommer (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Und wie soll ein Browser denn /sbin/init überschreiben? Führst du den 
als root aus? Installier doch einfach das .deb neu, oder vergleich die 
Datei mit ihrem Original aus dem Paket.

Autor: Uhu U. (uhu)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Dr. Sommer schrieb:
> Und wie soll ein Browser denn /sbin/init überschreiben? Führst du den
> als root aus?

Nein, natürlich nicht. Das Wesen von Malware ist, sich ungewöhnlich zu 
verhalten, also muss man das Übelste annehmen, wenn derlei komische 
Dinge passieren...

Autor: Der Andere (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Kleiner Tipp für die Zukunft:
Solche Aktionen macht man in einer VM oder hat zumindest ein aktuelles 
Backup.

Autor: meckerziege (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Rechner auf dem aktuellen Stand? Inkl. Browser?

Was ist die Prüfsummer deiner /sbin/init ? Du müsstest nur schauen, ob 
die gegenüber dem Original geändert wurde.

Sofern dein System aktuell ist würde ich hier aber eher einen Fehlalarm 
erwarten. Oder es war ZUVOR bereits infiziert.

Autor: Paranoy (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Der Andere schrieb:
> Kleiner Tipp für die Zukunft:
> Solche Aktionen macht man in einer VM oder hat zumindest ein aktuelles
> Backup.

Bitte keine Kompromisse! ;-)
Für solche Experimente bietet sich ein richtiger Hardwareschreibschutz 
an.

s. www.vkldata.com

Autor: Uhu U. (uhu)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Der Andere schrieb:
> Solche Aktionen macht man in einer VM oder hat zumindest ein aktuelles
> Backup.

Das Backup gibts natürlich - aber nicht von /usr /bin und /sbin - wozu 
auch...

Autor: Uhu U. (uhu)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
/sbin/init wird hier nur von upstart benutzt, das habe ich jetzt 
reinstalliert.

Allerdings mault chkrootkit immer noch - das ist also der Übeltäter...

Autor: Kaj G. (Firma: RUB) (bloody)
Datum:

Bewertung
1 lesenswert
nicht lesenswert

Autor: Uhu U. (uhu)
Datum:

Bewertung
1 lesenswert
nicht lesenswert
Kaj G. schrieb:
> 
https://askubuntu.com/questions/25176/chkrootkit-s...

Danke für den Hinweis. Der Test, den chkrootkit da macht, ist in der Tat 
etwas unspezifisch...

Autor: Dr. Google (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Sophos Antivirus läuft auf Debian-Derivaten + MacOS.

Antwort schreiben

Die Angabe einer E-Mail-Adresse ist freiwillig. Wenn Sie automatisch per E-Mail über Antworten auf Ihren Beitrag informiert werden möchten, melden Sie sich bitte an.

Wichtige Regeln - erst lesen, dann posten!

  • Groß- und Kleinschreibung verwenden
  • Längeren Sourcecode nicht im Text einfügen, sondern als Dateianhang

Formatierung (mehr Informationen...)

  • [c]C-Code[/c]
  • [avrasm]AVR-Assembler-Code[/avrasm]
  • [code]Code in anderen Sprachen, ASCII-Zeichnungen[/code]
  • [math]Formel in LaTeX-Syntax[/math]
  • [[Titel]] - Link zu Artikel
  • Verweis auf anderen Beitrag einfügen: Rechtsklick auf Beitragstitel,
    "Adresse kopieren", und in den Text einfügen




Bild automatisch verkleinern, falls nötig
Bitte das JPG-Format nur für Fotos und Scans verwenden!
Zeichnungen und Screenshots im PNG- oder
GIF-Format hochladen. Siehe Bildformate.
Hinweis: der ursprüngliche Beitrag ist mehr als 6 Monate alt.
Bitte hier nur auf die ursprüngliche Frage antworten,
für neue Fragen einen neuen Beitrag erstellen.

Mit dem Abschicken bestätigst du, die Nutzungsbedingungen anzuerkennen.