Conheça a nossa empresaNotícias de informática e segurançaBoletins, artigos, livros e dicas sobre segurançaO que oferecemosArquivos sobre segurançaUm apoio culturalFale com a Pangeia

 


 

 

 

SEGURANÇA

Sintomas de um DemonKit instalado

1 de Abril de 1997

Foi verificada a existência de um pacote nos moldes do "rootkit".
Este em especial é chamado DemonKit e apesar de menor que o rootkit original, tem serviços sufientes para manter um usuário escondido do admistrador, além de conter um exploit (Splitvt), que permite dar ao detentor do pacote senha de root em instalações com o splitvt vulnerável.
O pacote foi escrito originalmente para Linux, mas pode ser facilmente portado para outros Unix, nao estando estes, portando, fora de perigo.

Os principais sintomas que a instalação foi comprometida pelo DemonKit.
Note que os itens 1 e 2 são default e podem ser facilmente alterados nos fontes.

1) Porta 6013 sendo ouvida (LISTEN) ou em uso.

2) Existência dos seguintes arquivo:
/dev/ptyq

3) Modifição de data e principalmente de tamanho, em alguns dos seguintes programas:
login identd
netstat telnet
ping


O DemonKit pode ser instalado parcialmente, portanto nao ha' necessidade de todos programas terem sido modificados.

 


Voltar
Início

Copyright © 1995 - 2000 Pangeia Informática LTDA. Todos os direitos reservados.