[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[stalk:01186] chkrootkit

━━━━━━★ 楽天市場 中小企業応援キャンペーン実施中! ★━━━━
┏━━━━━━━━━━━━━┓【Aコース】お好きなビジネス書2万円分 
┃ 楽天市場で、仕事に役立つ ┃【Bコース】花粉の季節に・・空気清浄機
┃  即戦力グッズをGET! ┃⇒ http://common.rakuten.co.jp/cl/?i=473 
┗━━━━━━━━━━━━━┛━━━━━━━━━━━━━━━━━━━━
----------------------------------------------------------------------


ども。犬のみっきーです。

こっちでこの話題やってなかったと思いますけど、さいきんrootkitがマ
イブームです。んで、今のところMLが非活性時期でしょうから、ちょこ
ちょこコレ系でネタ投げてみます。

rootkitを検出するための簡易ツールであるchkrootkitが0.35にアップデ
ートされました。

http://www.chkrootkit.org

0.34からの主な変更はこんなカンジ。stringsが効いているのか、処理速
度が随分と良くなったような気(計ってないけど)がします。

strings.c (thanks to Sean D. True) 
new tests: ldsopreload and lsof; 
new ports added to the bindshell test; 
new rootkits and trojans detected: 
RST.b trojan; 
duarawkz; (thanks to Leif Neland) 
knark LKM; 
Monkit; 
Bobkit; (thanks to m0xx) 
Pizdakit; (thanks to Kaveh Goudarzi) 
HiDrootkit; 
t0rn v8.0 (new variant). (thanks to Bob Grabowsky and Mihai Sandu) 


で、気がついたんですが、lkmのknarkに対応したんですね。で、ソース
見てみたんですが、knark って /proc/knark って隠しディレクトリ作る
んですね。

〜〜〜〜〜〜〜

# ls /proc/knark
Creed      files      nethides   pids       redirects
# more /proc/knark/Creed
* * * * * * * * * * * * * * * * * * * * * * * * * *
*               knark v0.50 by Creed              *
*                                                 *
* email:  creed@xxxxxxxxxx                        *
* ircnet: #linux.se, #hack.se                     *
* efnet:  #hack.se                                *
*                                                 *
* This program may NOT be used in an illegal way  *
*        or to cause damage of any kind.          *
* * * * * * * * * * * * * * * * * * * * * * * * * *
# more /proc/knark/files
HIDDEN FILES

〜〜〜〜〜〜〜

strings.c (thanks to Sean D. True) 
new tests: ldsopreload and lsof; 
new ports added to the bindshell test; 
new rootkits and trojans detected: 
RST.b trojan; 
duarawkz; (thanks to Leif Neland) 
knark LKM; 
Monkit; 
Bobkit; (thanks to m0xx) 
Pizdakit; (thanks to Kaveh Goudarzi) 
HiDrootkit; 
t0rn v8.0 (new variant). (thanks to Bob Grabowsky and Mihai Sandu) 

>----- みっきーのネットワーク研究所 ------------<
>  http://www.hawkeye.ac/micky                  <
>  所長:犬のみっきー <micky@xxxxxxxxx>         <
>  pgp : http://www.hawkeye.ac/micky/micky.pub  <
>-----------------------------------------------<

--
- このメイリングリストに関する質問・問い合せ等は
- <security-talk@xxxxxxxxxx>までお知らせください
--
------------------------------------------------------------------------
            4年に一度のお祭りだぁ!
        http://www.infoseek.co.jp/SaltLake?svx=971122