2012/11/23 Camaleón <[email protected]>: > El Fri, 23 Nov 2012 17:17:56 +0100, Trujillo Carmona, Antonio escribió: > >> La compañera encargada de virus me ha pasado este enlace >> https://www.securelist.com/en/blog/208193935/New_64_bit_Linux_Rootkit_Doing_iFrame_Injections >> en la que analizan un rootkit espesifico para el núcleo de debian >> stable. > > Lo leí (en español) desde Hispasec: > > Descubierto un nuevo rootkit para servidores Linux > http://unaaldia.hispasec.com/2012/11/descubierto-un-nuevo-rootkit-para.html > > Pero no me quedó claro cómo se infectó el servidor. > >> ¿Seria útil, y como medida de seguridad, compilar el propio nucleo con >> apt-build solo para cambiarlo?. >> No tengo tiempo (ni ganas) de crear configuraciones especificas por >> servidor, me refiero a recompilar partiendo del fuente usando apt-build >> con nivel medio de agresividad. > > Pues no sé sabría decirte porque no me queda claro qué es vulnerable en > este caso (¿una versión del kernel en concreto?). Si es así, no tardarán > en sacar un parche ¿no? :-? >
En realidad es a la inversa. El rootkit no es una vulnerabilidad en el kernel ni una forma de utilizar un programa para ganar privilegios en un sistema limpio. Una vez que el atacante gana acceso root a un servidor (por otro medio) instala un módulo de kernel que intercepta las llamadas a funciones de red del kernel específicas para inyectar un iframe o redirección a otras páginas. La particularidad de la versión de kernel (2.6.32-5) y arquitectura (amd64) es porque la única versión conocida del rootkit tiene el módulo de kernel compilado exclusivamente para esa combinación. Esto no implica que otras versiones y arquitecturas no sean afectadas; pero, nuevamente, este rootkit es aparentemente sólo aplicable a esta arquitectura una vez que el atacante ya ha ganado acceso root al equipo. Saludos, Toote -- Web: http://www.enespanol.com.ar -- To UNSUBSCRIBE, email to [email protected] with a subject of "unsubscribe". Trouble? Contact [email protected] Archive: http://lists.debian.org/cank6mlzsmryg_2nkooapvz0zrun5buzmxpkjdzrrf+gatqx...@mail.gmail.com
