[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[port139:00619] Re: rootkit に関するメモβ1
- To: port139@xxxxxxxxxxxxx
- Subject: [port139:00619] Re: rootkit に関するメモβ1
- From: Sonoda Michio <sonoda_michio@xxxxxxxxxxxxxxxx>
- Date: Tue, 28 Aug 2001 13:36:16 +0900
園田です。
ちなみにsitf0.1関連でBSMのログで唯一「おかしいな」と分かるのはこんな感じです。
正常な動作の場合、
===
header,107,2,open(2) - read,,Tue Aug 28 11:23:35 2001, + 710000000 msec
path,/etc/shadow
attribute,100400,root,sys,26738688,35828,0
subject,test,test,other,test,other,201,194,0 0 secure202
return,failure: Permission denied,-1
===
というふうに直接testというユーザーでログインした場合でも、
===
header,107,2,open(2) - read,,Tue Aug 28 11:25:40 2001, + 760000000 msec
path,/etc/shadow
attribute,100400,root,sys,26738688,35828,0
subject,root,test,other,test,other,215,202,0 0 secure202
return,failure: Permission denied,-1
===
というふうにいったん別ユーザー(この場合rootですが(笑))でログインし、suし
た場合でも、Permission deniedになってますし、subject,test,testあるいは
subject,root,testというところでログインアカウントがわかります。
しかし、sitf0.1をロードしているとき、特定ユーザーID番号を持つユーザーでログ
インするときに例えばsuによるログインで、
===
header,86,2,su,,Tue Aug 28 11:07:41 2001, + 560000000 msec
subject,root,root,other,root,other,228,194,0 0 202.11.1.10
text,success for user test
return,success,0
===
というログが残っているのに、それ以降の動作が
===
header,107,2,open(2) - read,,Tue Aug 28 11:07:41 2001, + 550000000 msec
path,/etc/shadow
attribute,100400,root,sys,26738688,35828,0
subject,root,root,other,root,other,228,194,0 0 secure202
return,success,3
===
という形でsubject,root,rootになり、openに成功してしまいます。
これを追っかけるとおかしい、と分かるわけですが、それにしてもBSMの生ログ追い
かけるのは大変ですし、うっかりすると大量のログが出てくるので運用管理はけっこ
うたいへんです。
ちなみにmodinfoコマンドの出力はこんな感じです。
===
Id Loadaddr Size Info Rev Module Name
5 fe8ce000 37be 1 1 specfs (filesystem for specfs)
7 fe8d2ab4 225c 1 1 TS (time sharing sched class)
8 fe8d48cc 4a2 - 1 TS_DPTBL (Time sharing dispatch table)
10 fe8d4a08 194 - 1 pci_autoconfig (PCI BIOS interface)
(snip)
85 fe9bab80 111d 4 1 namefs (filesystem for namefs)
87 fe9bc0f8 c869 11 1 tmpfs (filesystem for tmpfs)
88 fe9c0610 676 21 1 log (streams log driver)
89 fe9c0b3c 6ba 22 1 sy (Indirect driver for tty 'sy')
90 fe968470 89b - 1 sitf0.1 (Solaris ITF)
===
最後の90番によってロードされているのが分かります。しかし、ツールflkmを使えば
この出力も隠蔽可能だそうです。
とりあえず分かったところまで。
--
園田道夫
株式会社アイ・ティ・フロンティア(旧三菱事務機械株式会社)
TEL:03-5611-5878 FAX:03-5611-5893
http://www.mom.co.jp/sec/