SEGURANÇA
Sintomas
de um DemonKit instalado
1
de Abril de 1997
Foi verificada a existência de um pacote nos moldes
do "rootkit".
Este em especial é chamado DemonKit e apesar de menor
que o rootkit original, tem serviços sufientes para
manter um usuário escondido do admistrador, além de
conter um exploit (Splitvt), que permite dar ao detentor
do pacote senha de root em instalações com o splitvt
vulnerável.
O pacote foi escrito originalmente para Linux, mas
pode ser facilmente portado para outros Unix, nao
estando estes, portando, fora de perigo.
Os
principais sintomas que a instalação foi comprometida
pelo DemonKit.
Note que os itens 1 e 2 são default e podem
ser facilmente alterados nos fontes.
1)
Porta 6013 sendo ouvida (LISTEN) ou em uso.
2)
Existência dos seguintes arquivo:
/dev/ptyq
3)
Modifição de data e principalmente de tamanho, em
alguns dos seguintes programas:
login |
identd |
netstat |
telnet |
ping |
O DemonKit pode ser instalado parcialmente, portanto
nao ha' necessidade de todos programas terem sido
modificados.
|