27/04/2021, 03:13
Testato e personalizzato la PCLinuxOS TDE mini, mi ritrovo con 2 segnalazioni di rootkit sulla macchina in VM, dopo aver controllato con Rootkit Hunter.
La versione usata è questa --> community-pclinuxos64-tde-mini-2021.02.iso (del 12-Feb-2021)
prelevata dal sito NLuug: http://ftp.nluug.nl/os/Linux/
ma non è lei la colpevole.
- Andando per ordine...
Ho eseguito ben 4 installazioni pulite, tutte su VM, non riscontrando nessun problema dopo aver aggiornato ed italianizzato la distribuzione cui accenno sopra. Il contagio avviene successivamente, allorquando si vanno ad installare e personalizzare il sistema, ed essendo riuscito a risalire all'origine, vi aggiorno. Tenuto conto che non ho installato nulla fuori da Synaptic, non aggiungendo neppure un wallpaper personalizzato, ho la certezza che il problema si trova nei repository della distro.
Tornando a RKHunter, dopo aver avviato col classico comando suggerito all'installazione (--propupd), aggiorno il database delle firme (--update) e dopo il classico riavvio vado a scannare la mia VM.
Il risultato è la presenza di ben 2 rootkit piuttosto inusuali e datati (SHV4 e SHV5), entrambi annidati nel file:
Cercando nel web non ci sono quasi tracce, se non appunto 2/3 ere informatiche fa (anche se ho trovato il nocciolo della questione), in cui la soluzione proposta è una sola: piallare il Sistema. Cosa che in effetti faccio per ben 3 volte, cercando di volta in volta di anticipare e diversificare i software installati.
In tutti e 4 i casi (installazione ripartendo ogni volta da zero) i casi però l'infezione permane.
A livello di traffico non noto anomalie particolari, tramite l'uso del Netstat, mentre aumenta il consumo di RAM nel post-install tra 500 MB ed 1 GB (questa è la spia che mi ha fatto controllare da subito con l'antirootkit).
Quindi per risolvere e capire da dove arrivi questo file, da Konsole lancio un:
L'output mi segnala il file è associato a questo: "lib64magic-devel".
Manualmente tolgo il file incriminato (il "file.h") e poi da Synaptic purgo quindi quello di installazione (che completo è "lib64magic-devel-5.38-2pclos2020"), che mi va a togliere 3 programmi, di cui 2 installati da me:
- trinity-kipi-plugins
- trinity-kxmleditor
- trinity-tdelibs-devel
Essendo programmi che non ho impellenza d'uso, e comunque destinati ad una macchina interna, opto comunque per la non sua reinstallazione. Nel frattempo, monitorando l'uso della RAM e della Rete, non sussistono particolari problemi (1 settimana di test finora).
- Conclusione:
faccio notare che nessun file e nessuna porta descritta in alcune guide anti-rootkit corrisponde al mio problema, giusto per chiarezza. Non trovando tracce particolari, ho pensato si tratti di una falsa segnalazione di RKHunter, ma nel dubbio, ho preferito riportarvela.
Info trovate, di interesse:
- Dissecting and removing the SHV5 rootkit:
https://kentoyer.com/2009/12/21/removing...5-rootkit/
- Info di Symantec per vari rootkit (SH5):
https://techdocs.broadcom.com/us/en/syma...05454.html
- DevOps & SysAdmins: How can I remove SHV4 / SHV5 rootkits? (soluzione: piallare)
https://www.youtube.com/watch?v=-tO_uDeygSM
Citazione:System checks summary
===============
Rootkit checks...
Rootkits checked : 366
Possible rootkits: 2
Rootkit names : SHV4 Rootkit, SHV5 Rootkit
La versione usata è questa --> community-pclinuxos64-tde-mini-2021.02.iso (del 12-Feb-2021)
prelevata dal sito NLuug: http://ftp.nluug.nl/os/Linux/
ma non è lei la colpevole.
- Andando per ordine...
Ho eseguito ben 4 installazioni pulite, tutte su VM, non riscontrando nessun problema dopo aver aggiornato ed italianizzato la distribuzione cui accenno sopra. Il contagio avviene successivamente, allorquando si vanno ad installare e personalizzare il sistema, ed essendo riuscito a risalire all'origine, vi aggiorno. Tenuto conto che non ho installato nulla fuori da Synaptic, non aggiungendo neppure un wallpaper personalizzato, ho la certezza che il problema si trova nei repository della distro.
Tornando a RKHunter, dopo aver avviato col classico comando suggerito all'installazione (--propupd), aggiorno il database delle firme (--update) e dopo il classico riavvio vado a scannare la mia VM.
Il risultato è la presenza di ben 2 rootkit piuttosto inusuali e datati (SHV4 e SHV5), entrambi annidati nel file:
Citazione:/usr/include/file.h
Cercando nel web non ci sono quasi tracce, se non appunto 2/3 ere informatiche fa (anche se ho trovato il nocciolo della questione), in cui la soluzione proposta è una sola: piallare il Sistema. Cosa che in effetti faccio per ben 3 volte, cercando di volta in volta di anticipare e diversificare i software installati.
In tutti e 4 i casi (installazione ripartendo ogni volta da zero) i casi però l'infezione permane.
A livello di traffico non noto anomalie particolari, tramite l'uso del Netstat, mentre aumenta il consumo di RAM nel post-install tra 500 MB ed 1 GB (questa è la spia che mi ha fatto controllare da subito con l'antirootkit).
Quindi per risolvere e capire da dove arrivi questo file, da Konsole lancio un:
Citazione:rpm -qif /usr/include/file.h
L'output mi segnala il file è associato a questo: "lib64magic-devel".
Manualmente tolgo il file incriminato (il "file.h") e poi da Synaptic purgo quindi quello di installazione (che completo è "lib64magic-devel-5.38-2pclos2020"), che mi va a togliere 3 programmi, di cui 2 installati da me:
- trinity-kipi-plugins
- trinity-kxmleditor
- trinity-tdelibs-devel
Essendo programmi che non ho impellenza d'uso, e comunque destinati ad una macchina interna, opto comunque per la non sua reinstallazione. Nel frattempo, monitorando l'uso della RAM e della Rete, non sussistono particolari problemi (1 settimana di test finora).
- Conclusione:
faccio notare che nessun file e nessuna porta descritta in alcune guide anti-rootkit corrisponde al mio problema, giusto per chiarezza. Non trovando tracce particolari, ho pensato si tratti di una falsa segnalazione di RKHunter, ma nel dubbio, ho preferito riportarvela.
Info trovate, di interesse:
- Dissecting and removing the SHV5 rootkit:
https://kentoyer.com/2009/12/21/removing...5-rootkit/
- Info di Symantec per vari rootkit (SH5):
https://techdocs.broadcom.com/us/en/syma...05454.html
- DevOps & SysAdmins: How can I remove SHV4 / SHV5 rootkits? (soluzione: piallare)
https://www.youtube.com/watch?v=-tO_uDeygSM