RE: [FreeBSD] chkrootkit ve lkm
Mesut hocam, rkhunter ile ilgili gonderdiginiz mail'de ciktilar yer almiyor :)) Hocam, keylogger'lar genelde keyboard portu (aygiti) uzerine yapilan input lari log olarak tutar. Konsola input olarak bir girdi yapamaz, sadece okuyabilir.. Bu sebeple sizin konsolunuzun bir satir asagiya dusmesi; yani SSH'da veya diger konsollarda enter a basilmalarin sebebi baska seyler olabilir. Konsolun size sundugu prompt disindan bir mudahele soz konusu ise, bunun komut calistirmak seklinde olabilecegini sanmiyorum. Bildiginiz uzere konsollar karakter aygitlarindandir. Eger bir konsoldan diger bir konsola bir karakter basmak isterseniz bunu bir dosyaya girdi yapar seklinde basarsiniz. (Aslinda UNIX/BSD/Linux isletim sistemlerin hersey dosyalardan ve soketlerden ibarettir.) sh # echo /dev/ttyXX Fakat diger konsol sizin konsolunuza mudahele ederken sadece karakter (stderr'e dusen hatalar seklinde) olarak mudahele edecektir. Mudahele edilen konsol ise bunlari bir string dizisi olarak kabul edecek ve komut yorumlama islemini gerceklestirmeyecektir.. Acaba entera basildigini dusundugunuz noktada, konsol size nasil tepki veriyor ? Tekrar direk olarak kabuga (direk alt satira) mi dusuyor yoksa kabuk prompt'u geri gelmemis kursor 1 alt satirda mi bekliyor ve siz mudahele edince mi prompt geri geliyor ? Mesut Hocam, ayrica gonderdiginiz ciktilari inceledim.. Sahsen cok enteresan birsey goremedim. crontaba basit bir script yazmanizi ve surekli olarak last ciktisini yani son giris yapan kullanici ciktisini bir dosyaya tutmanizi onerebilirim. Ayrica bir komut isletebilmek icin bir konsola sahip olmaniz gerekir. Eger bir konsola sahip iseniz; bunu w ciktisinda gorebilirsiniz.. Bu komutun ciktisini da surekli olarak bir dosyaya kaydedip kontrol edebilirsiniz.. Saygilarimla.. Mehmet CELIK _ Climb to the top of the charts! Play Star Shuffle: the word scramble challenge with star power. http://club.live.com/star_shuffle.aspx?icid=starshuffle_wlmailtextlink_oct - Listeye soru sormadan once lutfen http://ipucu.enderunix.org sitesine bakiniz. Cikmak icin, e-mail: [EMAIL PROTECTED] Liste arsivi: http://news.gmane.org/gmane.org.user-groups.bsd.turkey FreeBSD 6 kitabi cikti! http://www.acikakademi.com/catalog/freebsd6
RE: [FreeBSD] chkrootkit ve lkm
İlgili warning çıktılarını yanlış yere göndermişim. Şu anda tekrar gönderiyorum. Enterdan sonra konsola mı düşüyor sorunuza cevabım ise EVET. Konsola düşüyor. [EMAIL PROTECTED]:~]# [EMAIL PROTECTED]:~]# [EMAIL PROTECTED]:~]# Şeklinde.. w komut çıktım ise şu şekilde; [EMAIL PROTECTED]:~]# w 11:18AM up 1 day, 1:56, 1 user, load averages: 0,03 0,03 0,00 USER TTY FROM LOGIN@ IDLE WHAT mesutp0 172.16.0.80 11:16AM - w [EMAIL PROTECTED]:~]# who mesutttyp0 1 Kas 11:16 (172.16.0.80) [EMAIL PROTECTED]:~]# Last komut çıktım ise şu şekilde; [EMAIL PROTECTED]:~]# last mesutttyp0172.16.0.80 Per 1 Kas 11:16 still logged in wtmp begins 1 Kas 2007 Per EET 11:16:48 [EMAIL PROTECTED]:~]# /usr/bin/login [ Warning ] has the immutable-bit set. /usr/bin/passwd [ Warning ] has the immutable-bit set. /usr/bin/su [ Warning ] has the immutable-bit set. /usr/bin/whatis [ Warning ] has been replaced by a script: /usr/bin/whatis: Bourne shell script text executable /sbin/init [ Warning ] has the immutable-bit set. /usr/sbin/adduser[ Warning ] has been replaced by a script: /usr/bin/whatis: Bourne shell script text executable /usr/local/sbin/pkgdb[ Warning ] has been replaced by a script: /usr/local/sbin/pkgdb: a /usr/local/bin/ruby18 script text executable Checking package database[ Warning ] Warning: The package database seems to have inconsistencies.This may not be a security issue, but running 'pkgdb -F' may help diagnose the problem. Checking for hidden files and directories[ Warning ] Warning: Hidden directory found: /usr/.snap Checking version of OpenSSL [ Warning ] Warning: Application 'openssl', version '0.9.7e', is out of date, and possibly a security risk. -Original Message- From: mehmet celik [mailto:[EMAIL PROTECTED] Sent: Thursday, November 01, 2007 10:47 AM To: freebsd@lists.enderunix.org Subject: RE: [FreeBSD] chkrootkit ve lkm Mesut hocam, rkhunter ile ilgili gonderdiginiz mail'de ciktilar yer almiyor :)) Hocam, keylogger'lar genelde keyboard portu (aygiti) uzerine yapilan input lari log olarak tutar. Konsola input olarak bir girdi yapamaz, sadece okuyabilir.. Bu sebeple sizin konsolunuzun bir satir asagiya dusmesi; yani SSH'da veya diger konsollarda enter a basilmalarin sebebi baska seyler olabilir. Konsolun size sundugu prompt disindan bir mudahele soz konusu ise, bunun komut calistirmak seklinde olabilecegini sanmiyorum. Bildiginiz uzere konsollar karakter aygitlarindandir. Eger bir konsoldan diger bir konsola bir karakter basmak isterseniz bunu bir dosyaya girdi yapar seklinde basarsiniz. (Aslinda UNIX/BSD/Linux isletim sistemlerin hersey dosyalardan ve soketlerden ibarettir.) sh # echo /dev/ttyXX Fakat diger konsol sizin konsolunuza mudahele ederken sadece karakter (stderr'e dusen hatalar seklinde) olarak mudahele edecektir. Mudahele edilen konsol ise bunlari bir string dizisi olarak kabul edecek ve komut yorumlama islemini gerceklestirmeyecektir.. Acaba entera basildigini dusundugunuz noktada, konsol size nasil tepki veriyor ? Tekrar direk olarak kabuga (direk alt satira) mi dusuyor yoksa kabuk prompt'u geri gelmemis kursor 1 alt satirda mi bekliyor ve siz mudahele edince mi prompt geri geliyor ? Mesut Hocam, ayrica gonderdiginiz ciktilari inceledim.. Sahsen cok enteresan birsey goremedim. crontaba basit bir script yazmanizi ve surekli olarak last ciktisini yani son giris yapan kullanici ciktisini bir dosyaya tutmanizi onerebilirim. Ayrica bir komut isletebilmek icin bir konsola sahip olmaniz gerekir. Eger bir konsola sahip iseniz; bunu w ciktisinda gorebilirsiniz.. Bu komutun ciktisini da surekli olarak bir dosyaya kaydedip kontrol edebilirsiniz.. Saygilarimla.. Mehmet CELIK _ Climb to the top of the charts! Play Star Shuffle: the word scramble challenge with star power. http://club.live.com/star_shuffle.aspx?icid=starshuffle_wlmailtextlink_oct - Listeye soru sormadan once lutfen http://ipucu.enderunix.org sitesine bakiniz. Cikmak icin, e-mail: [EMAIL PROTECTED] Liste arsivi: http://news.gmane.org/gmane.org.user-groups.bsd.turkey FreeBSD 6 kitabi cikti! http://www.acikakademi.com/catalog/freebsd6 - Listeye soru sormadan once lutfen http://ipucu.enderunix.org sitesine bakiniz. Cikmak icin, e-mail: [EMAIL PROTECTED] Liste arsivi: http://news.gmane.org/gmane.org.user
RE: [FreeBSD] chkrootkit ve lkm
Hocam, asagidaki gibi kontrol ciktisi daha once gormedim. Bu konuda yorum yapamayacam. Bilen ustadlarimiz varsa, bizide bizide bilgilendirirlerse sevinirim.. /usr/bin/login [ Warning ] has the immutable-bit set. w ciktisindaki IDLE tanimi kabuk uzerinde calistirilan son komuttan bu yana gecen zamani tutar. Aslinda son komut degil. Mesela konsola bir karakter dizisi yazmaniz konsol uzerindeki IDLE tanimini degistirmez!! Ne zaman siz entera karsilik gelen '\n' karakterinin ASCI kodunu basarsaniz o zaman IDLE tanimi tekrar sifirlanir. Yani kisaca enterlarsaniz o zaman zaman sifirlanir. Eger sistemde sizden habersiz biseler oldugunu dusunuyorsaniz asagidaki gibi bir script ile IDLE zamanini surekli olarak kontrol edebilirsiniz.. # Script baslangic #!/bin/sh DATE=`date +%F-%H:%M` LOGDIR=/var/log/cons/ for cons in /dev/tty* ; do CONS=`basename ${cons}` IDLE=`w | grep ${CONS} | awk -F' ' '{print $5}' ` if [ ${IDLE} = ]; then continue else echo ${DATE} - ${CONS} konsolu ${IDLE} zamanindan bu yana islem gormemistir. ${LOGDIR}/${CONS} fi done # Script bitis Bu script; belirleyeceginiz peryotlarda calistirilirsa, sistemdeki aktif olan tum konsollara bakacaktir. Eger bir konsol aktif ise w ciktisinda yer alacagindan dolayi tum aktif konsollar kontrol edilecektir. Aktif olan konsollar icin belirtilen dizinde konsolun ismine bagli bir log dosyasi tutacaktir. Scripti crona bagladiktan sonra kabuk uzerinde her entera basildigi anda log dosyasindaki IDLE zamani degismis olacaktir. Hocam insalla yardimi olur.. Saygilarimla.. Mehmet CELIK From: [EMAIL PROTECTED] To: freebsd@lists.enderunix.org Date: Thu, 1 Nov 2007 11:43:59 +0200 Subject: RE: [FreeBSD] chkrootkit ve lkm İlgili warning çıktılarını yanlış yere göndermişim. Şu anda tekrar gönderiyorum. Enterdan sonra konsola mı düşüyor sorunuza cevabım ise EVET. Konsola düşüyor. [EMAIL PROTECTED]:~]# [EMAIL PROTECTED]:~]# [EMAIL PROTECTED]:~]# Şeklinde.. w komut çıktım ise şu şekilde; [EMAIL PROTECTED]:~]# w 11:18AM up 1 day, 1:56, 1 user, load averages: 0,03 0,03 0,00 USER TTY FROM LOGIN@ IDLE WHAT mesut p0 172.16.0.80 11:16AM - w [EMAIL PROTECTED]:~]# who mesut ttyp0 1 Kas 11:16 (172.16.0.80) [EMAIL PROTECTED]:~]# Last komut çıktım ise şu şekilde; [EMAIL PROTECTED]:~]# last mesut ttyp0 172.16.0.80 Per 1 Kas 11:16 still logged in wtmp begins 1 Kas 2007 Per EET 11:16:48 [EMAIL PROTECTED]:~]# /usr/bin/passwd [ Warning ] has the immutable-bit set. /usr/bin/su [ Warning ] has the immutable-bit set. /usr/bin/whatis [ Warning ] has been replaced by a script: /usr/bin/whatis: Bourne shell script text executable /sbin/init [ Warning ] has the immutable-bit set. /usr/sbin/adduser [ Warning ] has been replaced by a script: /usr/bin/whatis: Bourne shell script text executable /usr/local/sbin/pkgdb [ Warning ] has been replaced by a script: /usr/local/sbin/pkgdb: a /usr/local/bin/ruby18 script text executable Checking package database [ Warning ] Warning: The package database seems to have inconsistencies.This may not be a security issue, but running 'pkgdb -F' may help diagnose the problem. Checking for hidden files and directories [ Warning ] Warning: Hidden directory found: /usr/.snap Checking version of OpenSSL [ Warning ] Warning: Application 'openssl', version '0.9.7e', is out of date, and possibly a security risk. Climb to the top of the charts! Play Star Shuffle: the word scramble challenge with star power. http://club.live.com/star_shuffle.aspx?icid=starshuffle_wlmailtextlink_oct - Listeye soru sormadan once lutfen http://ipucu.enderunix.org sitesine bakiniz. Cikmak icin, e-mail: [EMAIL PROTECTED] Liste arsivi: http://news.gmane.org/gmane.org.user-groups.bsd.turkey FreeBSD 6 kitabi cikti! http://www.acikakademi.com/catalog/freebsd6 - Listeye soru sormadan once lutfen http://ipucu.enderunix.org sitesine bakiniz. Cikmak icin, e-mail: [EMAIL PROTECTED] Liste arsivi: http://news.gmane.org/gmane.org.user-groups.bsd.turkey FreeBSD 6 kitabi cikti! http://www.acikakademi.com/catalog/freebsd6 _ Windows Live Hotmail and Microsoft Office Outlook – together at last. Get it now. http://office.microsoft.com/en-us/outlook/HA102225181033.aspx?pid=CL100626971033 - Listeye soru sormadan once lutfen http://ipucu.enderunix.org sitesine bakiniz. Cikmak icin, e-mail: [EMAIL PROTECTED] Liste arsivi: http://news.gmane.org/gmane.org.user-groups.bsd.turkey FreeBSD 6 kitabi cikti! http://www.acikakademi.com/catalog/freebsd6
RE: [FreeBSD] chkrootkit ve lkm
Dediğiniz şekillerde console u takip edeceğim. Ancak immutable-bit konusunda diğer arkadaşlardan bilgi alabilirsek çok seviniriz... -Original Message- From: mehmet celik [mailto:[EMAIL PROTECTED] Sent: Thursday, November 01, 2007 3:02 PM To: freebsd@lists.enderunix.org Subject: RE: [FreeBSD] chkrootkit ve lkm Hocam, asagidaki gibi kontrol ciktisi daha once gormedim. Bu konuda yorum yapamayacam. Bilen ustadlarimiz varsa, bizide bizide bilgilendirirlerse sevinirim.. /usr/bin/login [ Warning ] has the immutable-bit set. w ciktisindaki IDLE tanimi kabuk uzerinde calistirilan son komuttan bu yana gecen zamani tutar. Aslinda son komut degil. Mesela konsola bir karakter dizisi yazmaniz konsol uzerindeki IDLE tanimini degistirmez!! Ne zaman siz entera karsilik gelen '\n' karakterinin ASCI kodunu basarsaniz o zaman IDLE tanimi tekrar sifirlanir. Yani kisaca enterlarsaniz o zaman zaman sifirlanir. Eger sistemde sizden habersiz biseler oldugunu dusunuyorsaniz asagidaki gibi bir script ile IDLE zamanini surekli olarak kontrol edebilirsiniz.. # Script baslangic #!/bin/sh DATE=`date +%F-%H:%M` LOGDIR=/var/log/cons/ for cons in /dev/tty* ; do CONS=`basename ${cons}` IDLE=`w | grep ${CONS} | awk -F' ' '{print $5}' ` if [ ${IDLE} = ]; then continue else echo ${DATE} - ${CONS} konsolu ${IDLE} zamanindan bu yana islem gormemistir. ${LOGDIR}/${CONS} fi done # Script bitis Bu script; belirleyeceginiz peryotlarda calistirilirsa, sistemdeki aktif olan tum konsollara bakacaktir. Eger bir konsol aktif ise w ciktisinda yer alacagindan dolayi tum aktif konsollar kontrol edilecektir. Aktif olan konsollar icin belirtilen dizinde konsolun ismine bagli bir log dosyasi tutacaktir. Scripti crona bagladiktan sonra kabuk uzerinde her entera basildigi anda log dosyasindaki IDLE zamani degismis olacaktir. Hocam insalla yardimi olur.. Saygilarimla.. Mehmet CELIK From: [EMAIL PROTECTED] To: freebsd@lists.enderunix.org Date: Thu, 1 Nov 2007 11:43:59 +0200 Subject: RE: [FreeBSD] chkrootkit ve lkm İlgili warning çıktılarını yanlış yere göndermişim. Şu anda tekrar gönderiyorum. Enterdan sonra konsola mı düşüyor sorunuza cevabım ise EVET. Konsola düşüyor. [EMAIL PROTECTED]:~]# [EMAIL PROTECTED]:~]# [EMAIL PROTECTED]:~]# Şeklinde.. w komut çıktım ise şu şekilde; [EMAIL PROTECTED]:~]# w 11:18AM up 1 day, 1:56, 1 user, load averages: 0,03 0,03 0,00 USER TTY FROM LOGIN@ IDLE WHAT mesut p0 172.16.0.80 11:16AM - w [EMAIL PROTECTED]:~]# who mesut ttyp0 1 Kas 11:16 (172.16.0.80) [EMAIL PROTECTED]:~]# Last komut çıktım ise şu şekilde; [EMAIL PROTECTED]:~]# last mesut ttyp0 172.16.0.80 Per 1 Kas 11:16 still logged in wtmp begins 1 Kas 2007 Per EET 11:16:48 [EMAIL PROTECTED]:~]# /usr/bin/passwd [ Warning ] has the immutable-bit set. /usr/bin/su [ Warning ] has the immutable-bit set. /usr/bin/whatis [ Warning ] has been replaced by a script: /usr/bin/whatis: Bourne shell script text executable /sbin/init [ Warning ] has the immutable-bit set. /usr/sbin/adduser [ Warning ] has been replaced by a script: /usr/bin/whatis: Bourne shell script text executable /usr/local/sbin/pkgdb [ Warning ] has been replaced by a script: /usr/local/sbin/pkgdb: a /usr/local/bin/ruby18 script text executable Checking package database [ Warning ] Warning: The package database seems to have inconsistencies.This may not be a security issue, but running 'pkgdb -F' may help diagnose the problem. Checking for hidden files and directories [ Warning ] Warning: Hidden directory found: /usr/.snap Checking version of OpenSSL [ Warning ] Warning: Application 'openssl', version '0.9.7e', is out of date, and possibly a security risk. Climb to the top of the charts! Play Star Shuffle: the word scramble challenge with star power. http://club.live.com/star_shuffle.aspx?icid=starshuffle_wlmailtextlink_oct - Listeye soru sormadan once lutfen http://ipucu.enderunix.org sitesine bakiniz. Cikmak icin, e-mail: [EMAIL PROTECTED] Liste arsivi: http://news.gmane.org/gmane.org.user-groups.bsd.turkey FreeBSD 6 kitabi cikti! http://www.acikakademi.com/catalog/freebsd6 - Listeye soru sormadan once lutfen http://ipucu.enderunix.org sitesine bakiniz. Cikmak icin, e-mail: [EMAIL PROTECTED] Liste arsivi: http://news.gmane.org/gmane.org.user-groups.bsd.turkey FreeBSD 6 kitabi cikti! http://www.acikakademi.com/catalog/freebsd6 _ Windows Live Hotmail and Microsoft Office Outlook - together at last. Get it now. http://office.microsoft.com/en-us/outlook/HA102225181033.aspx?pid=CL10062697 1033
Re: [FreeBSD] chkrootkit ve lkm
çıktıda LKM trojanı yüklü olabilir diyor. bundan nasıl emin olabilirim. ve varsa nasıl temizleyebilirim. 2007/10/27, mehmet celik [EMAIL PROTECTED]: Mesut bey, sorunuzu belirttiniz mi acaba ? Ben pek anlayamadim.. chrootkit ile sistemi kontrol etmek ve varolan aciklara mi bakmak istiyorsunuz ? Kisaca rootkit kullanma amacinizi anlatabilirseniz daha iyi olacaktir.. Saygilarimla.. Mehmet CELIK -- From: [EMAIL PROTECTED] To: freebsd@lists.enderunix.org Date: Sat, 27 Oct 2007 16:57:22 +0300 Subject: [FreeBSD] chkrootkit ve lkm Şu şekilde bir çıktı almaktayım. Google araştırmalarım sonucunda tam olarak bir yere varamadım. Bir kaç forum da bunun chkrootkit in bir bug ı olduğunu belirtiyorlar. Bazılarında ise kernel modülleri ile ilgili çalışmalar yaptııryorlar. Konu hakkınd bilgisi edinebilirim ya da bundan nasıl emin olabilirim.. # chkrootkit lkm ROOTDIR is `/' Checking `lkm'... You have 100 process hidden for readdir command chkproc: Warning: Possible LKM Trojan installed # # find / -iname readdir* /usr/local/lib/perl5/5.8.8/mach/auto/POSIX/readdir.al /usr/local/include/php/TSRM/readdir.h /usr/share/man/man3/readdir.3.gz /usr/share/man/man3/readdir_r.3.gz /usr/share/man/cat3/readdir.3.gz /usr/src/lib/libc/gen/readdir.c /usr/src/lib/libstand/readdir.c /usr/obj/usr/src/lib/libc/readdir.o /usr/obj/usr/src/lib/libc/readdir.So /usr/obj/usr/src/lib/libstand/readdir.o # *İyi çalışmalar...* * * *Mesut GÜLNAZ* *IEM* -- Boo! Scare away worms, viruses and so much more! Try Windows Live OneCare! Try now!http://onecare.live.com/standard/en-us/purchase/trial.aspx?s_cid=wl_hotmailnews -- İyi çalışmalar... Mesut GÜLNAZ
[FreeBSD] chkrootkit ve lkm
Şu şekilde bir çıktı almaktayım. Google araştırmalarım sonucunda tam olarak bir yere varamadım. Bir kaç forum da bunun chkrootkit in bir bug ı olduğunu belirtiyorlar. Bazılarında ise kernel modülleri ile ilgili çalışmalar yaptııryorlar. Konu hakkınd bilgisi edinebilirim ya da bundan nasıl emin olabilirim.. # chkrootkit lkm ROOTDIR is `/' Checking `lkm'... You have 100 process hidden for readdir command chkproc: Warning: Possible LKM Trojan installed # # find / -iname readdir* /usr/local/lib/perl5/5.8.8/mach/auto/POSIX/readdir.al /usr/local/include/php/TSRM/readdir.h /usr/share/man/man3/readdir.3.gz /usr/share/man/man3/readdir_r.3.gz /usr/share/man/cat3/readdir.3.gz /usr/src/lib/libc/gen/readdir.c /usr/src/lib/libstand/readdir.c /usr/obj/usr/src/lib/libc/readdir.o /usr/obj/usr/src/lib/libc/readdir.So /usr/obj/usr/src/lib/libstand/readdir.o # İyi çalışmalar... Mesut GÜLNAZ IEM
RE: [FreeBSD] chkrootkit ve lkm
Mesut bey, sorunuzu belirttiniz mi acaba ? Ben pek anlayamadim.. chrootkit ile sistemi kontrol etmek ve varolan aciklara mi bakmak istiyorsunuz ? Kisaca rootkit kullanma amacinizi anlatabilirseniz daha iyi olacaktir.. Saygilarimla.. Mehmet CELIK From: [EMAIL PROTECTED]: [EMAIL PROTECTED]: Sat, 27 Oct 2007 16:57:22 +0300Subject: [FreeBSD] chkrootkit ve lkm Şu şekilde bir çıktı almaktayım. Google araştırmalarım sonucunda tam olarak bir yere varamadım. Bir kaç forum da bunun chkrootkit in bir bug ı olduğunu belirtiyorlar. Bazılarında ise kernel modülleri ile ilgili çalışmalar yaptııryorlar. Konu hakkınd bilgisi edinebilirim ya da bundan nasıl emin olabilirim.. # chkrootkit lkm ROOTDIR is `/' Checking `lkm'... You have 100 process hidden for readdir command chkproc: Warning: Possible LKM Trojan installed # # find / -iname readdir* /usr/local/lib/perl5/5.8.8/mach/auto/POSIX/readdir.al /usr/local/include/php/TSRM/readdir.h /usr/share/man/man3/readdir.3.gz /usr/share/man/man3/readdir_r.3.gz /usr/share/man/cat3/readdir.3.gz /usr/src/lib/libc/gen/readdir.c /usr/src/lib/libstand/readdir.c /usr/obj/usr/src/lib/libc/readdir.o /usr/obj/usr/src/lib/libc/readdir.So /usr/obj/usr/src/lib/libstand/readdir.o # İyi çalışmalar... Mesut GÜLNAZ IEM _ Boo! Scare away worms, viruses and so much more! Try Windows Live OneCare! http://onecare.live.com/standard/en-us/purchase/trial.aspx?s_cid=wl_hotmailnews