I Rootkits

Megalinux

il 17 lug 2016, 12:07

46 risposte

46 Risposte - Pagina 2

O
oregon
Super Famoso
Iscritto da
nov, 2011
Messaggi:
21551
Re: I Rootkits
17 lug 2016, 17:50
Assolutamente no. Nessuno si metterebbe a perdere tempo - con un sistema fermo - ad esaminare log di un server compromesso di cui nulla si sa. Il tempo necessario per rimettere in produzione quel server, con la *sicurezza* di averlo ripulito è enormemente più grande di quello necessario alla reinstallazione (con un sistema di provisioning di macchine virtuali già pronte, è una banalità, anche in termini di tempo).

Anzi, ti dirò che in alcuni casi, alcune macchine virtuali immacolate, spente e pronte all'uso sono sempre pronte (e configurate in load balancing) per risolvere problemi "catastrofici" che possono avvenire alle 3 di notte come di domenica o chissà quando.

Altro che scollegare ed esaminare un sistema compromesso da un rootkit !

Da quello che scrivi, tu non hai mai affrontato problemi simili in realtà.
+m+
Molto attivo
Iscritto da
gen, 2016
Messaggi:
712
Re: I Rootkits
17 lug 2016, 18:35
Megalinux ha scritto:
...
1) Scollegamento dalla Rete Internet della macchina infetta (con probabile perdita della continuità dell'attività produttiva)
2) Accesso alla macchina con backdoor e ripristino utente di root se necessario
3) Controllo dei file di logs (che il mio rootkit ha scritto....e ha nascosto). Verifica dei files compromessi e finalmente se possibile soluzione del problema. E' ovvio che tutto si traduce in termini di tempo....ma è necessario, poiché, se il backup risulta compromesso il tempo per la soluzione potrebbe moltiplicarsi in modo irragionevole.

E' ovvio che in alcuni casi la tua soluzione è più veloce, mentre in altri la mia è migliore..........come dice tu, è una mia e una tua scelta adottare la soluzione migliore nel momento migliore.
Megalinux non offenderti, ma non hai la minima idea.

1-2-3 sono banalmente sostituiti da un avvio in modalità monoutente.
Da lì riprendi il controllo della macchina senza bisogno di chissà che, ed effettivamente controlli i log, e l'history, per vedere se trovi immediatamente (pochi minuti) il "colpevole".
Altrimenti lasci perdere.

I backup compromessi non so cosa significhi, direi che non sai fare i backup.

Se poi usi sistemi operativi "veri" e non "giocattoli" (tipo linux) allora torni indietro alla situazione nel tempo necessario a riavviare la macchina.

Non spiego poi la situazione virtuale perchè dipende dalla piattaforma (esxi, xen, virtualbox o bhyve). Ovviamente li conosco tutti.

EDIT: tranne quello microsoft

Francamente non mi è chiaro in cosa è meglio una qualche voragine di sicurezza (...perchè ovviamente questo è una backdoor, tra l'altro praticamente impossibile da mettere in atto per sistemi operativi non giocattoli) rispetto ad un avvio monoutente.
Spiegamelo, che magari imparo qualcosa di nuovo.
+m+
Molto attivo
Iscritto da
gen, 2016
Messaggi:
712
Re: I Rootkits
17 lug 2016, 18:36
oregon ha scritto:
Anzi, ti dirò che in alcuni casi, alcune macchine virtuali immacolate, spente e pronte all'uso sono sempre pronte (e configurate in load balancing) per risolvere problemi "catastrofici" che possono avvenire alle 3 di notte come di domenica o chissà quando.
Per la verità no, perchè sarebbe essenzialmente inutile avendo una copia dei dati vecchissima.
Bisogna vedere se parliamo di una situazione (tipica) con storage fuori o dentro.
E poi neppure load balancing, perchè poi ti parto col pippone su come funziona o non funziona vmware
O
oregon
Super Famoso
Iscritto da
nov, 2011
Messaggi:
21551
Re: I Rootkits
17 lug 2016, 18:51
+m+ ha scritto:
EDIT: tranne quello microsoft
Solo per la cronaca e la completezza della tua enciclopedica conoscenza, si chiama HyperV e non lo paragonerei a virtualbox ...

una qualche voragine di sicurezza
Ovviamente concordo ...
O
oregon
Super Famoso
Iscritto da
nov, 2011
Messaggi:
21551
Re: I Rootkits
17 lug 2016, 18:54
Per la verità no, perchè sarebbe essenzialmente inutile avendo una copia dei dati vecchissima.
I dati, da noi, non stanno sui server ...

con storage fuori o dentro.
Ecco ... cominci ad avvicinarti ... fuochino ... pensa ad un EMC2 collegato in fibra ...

E poi neppure load balancing, perchè poi ti parto col pippone su come funziona o non funziona vmware
Dipende se stanno su vmware e dipende dal tipo di load balancing ... quindi niente pippone ... tienilo per te ...
M
Megalinux
Pochi posts
Iscritto da
lug, 2016
Messaggi:
24
Re: I Rootkits
17 lug 2016, 19:03
Interessante, +m+, e allora come faccio a riavviare il mio server in modalità monoutente se non ho la possibilità di farlo da root o amministratore e soprattutto non sono fisicamente difronte al mio server!!!! Se un qualsiasi utente avesse tale opportunità allora ........sarei in balia degli eventi catastrofici o meno!

Allora...non c'è bisogno che ti spieghi cosa intendo per Backup compromessi....dovresti saperlo! Non è detto che non li faccia in modo corretto, o detto solamente che potrebbero anche non servire perché anch'essi infetti dal rootkit.... (e qui puoi darmi una soluzione per ovviare a questo inconveniente...)

Un sistema operativo GNU/Linux e non "Linux" lo consideri un giocattolo? Passiamo oltre....forse non lo conosci abbastanza!

I rootkits esistono praticamente su quasi tutti i sistemi operativi.....

GNU/Linux (sistema operativo giocattolo..)
Windows (sistema operativo giocattolo..)
UNIX (sistema operativo giocattolo..)
Android (sistema operativo giocattolo..)
OSX (sistema operativo giocattolo..)
Citrix (sistema operativo gicattolo..).

Forse ne ho dimenticato alcuno, ma forse potresti completare tu l' elenco.

Di Wmware non ne voglio sentir parlare!!!! grazie
+m+
Molto attivo
Iscritto da
gen, 2016
Messaggi:
712
Re: I Rootkits
17 lug 2016, 19:11
Megalinux ha scritto:
Interessante, +m+, e allora come faccio a riavviare il mio server in modalità monoutente se non ho la possibilità di farlo da root o amministratore e soprattutto non sono fisicamente difronte al mio server!!!!
Si chiamano KVM.
Se invece usi un server "vero" allora avrai già i loro vari idrac, o IPMI, o quello che è. Anzi spesso, personalmente, preferisco Supermicro proprio per questo motivo.
Se il server è in colocation, affitti un KVM. Tipicamente te lo fanno pagare molto caro, una 50ina di dollari al giorno. Normalmente bastano uno o due giorni
Se un qualsiasi utente avesse tale opportunità allora ........sarei in balia degli eventi catastrofici o meno!
Certo che qualsiasi utente lo può fare, se prevedi di farlo.
Allora...non c'è bisogno che ti spieghi cosa intendo per Backup compromessi....dovresti saperlo!
Francamente no, non lo so.
Non è detto che non li faccia in modo corretto, o detto solamente che potrebbero anche non servire perché anch'essi infetti dal rootkit.... (e qui puoi darmi una soluzione per ovviare a questo inconveniente...)
Certo, basta avere i backup da sempre a sempre.
Io, ad esempio, li ho dal 1995 a oggi.
Un sistema operativo GNU/Linux e non "Linux" lo consideri un giocattolo? Passiamo oltre....forse non lo conosci abbastanza!
In effetti hai ragione, certo non li conosco a sufficienza
I rootkits esistono praticamente su quasi tutti i sistemi operativi.....

GNU/Linux (sistema operativo giocattolo..)
Vero
Windows (sistema operativo giocattolo..)
Vero
UNIX (sistema operativo giocattolo..)
Dipende
Android (sistema operativo giocattolo..)
Vero
OSX (sistema operativo giocattolo..)
Vero
Citrix (sistema operativo gicattolo..).
??? Perchè adesso Citrix è un sistema operativo?
Forse ne ho dimenticato alcuno, ma forse potresti completare tu l' elenco.
Mi spiace, ma non ho le tue competenze

Di Wmware non ne voglio sentir parlare!!!! grazie
E' solo LO standard industriale (nel bene, e nel male).
+m+
Molto attivo
Iscritto da
gen, 2016
Messaggi:
712
Re: I Rootkits
17 lug 2016, 19:13
oregon ha scritto:
I dati, da noi, non stanno sui server ...

Ecco ... cominci ad avvicinarti ... fuochino ... pensa ad un EMC2 collegato in fibra ...
Allora avete un sistema molto lento, sono approcci old style ormai obsoleti.
Dipende se stanno su vmware e dipende dal tipo di load balancing ... quindi niente pippone ... tienilo per te ...
"load balancing" non significa nulla, o quasi, per vmware.
Risparmio il pippone su vmotion e così via.
O
oregon
Super Famoso
Iscritto da
nov, 2011
Messaggi:
21551
Re: I Rootkits
17 lug 2016, 19:15
Allora avete un sistema molto lento, sono approcci old style ormai obsoleti.
Non direi ... ma non posso andare oltre.

Risparmio il pippone su vmotion e così via.
Già ... risparmia .... non c'entra nulla in questo caso.
+m+
Molto attivo
Iscritto da
gen, 2016
Messaggi:
712
Re: I Rootkits
17 lug 2016, 19:19
oregon ha scritto:
+m+ ha scritto:
EDIT: tranne quello microsoft
Solo per la cronaca e la completezza della tua enciclopedica conoscenza, si chiama HyperV e non lo paragonerei a virtualbox ...
Certo lo so, ne amministro una mezza dozzina, ma sono delle chiaviche immonde
E virtualbox è mooolto meglio di m$, per il banale fatto che NON è un virtualizzatore "bare metal", il che consente di usare sistemi operativi, e file system, non giocattolo.
Essendo di Oracle, che a sua volta ha acquistato Sun, funziona benissimo su Solaris, anche senza i vari "cugini" open tipo illumos e così via.
Virtualbox su Solaris batte merda-microsoft 1000 a 1. In realtà spesso non si virtualizza neppure più, su solaris, a cagione della possibilità di fare snapshot del sistema selezionabili all'avvio "stile grub".
In pratica i mitici "rootkit", installazioni andate a male, corruzioni del sistema operativo o sticazzi si risolvono semplicemente riavviando la macchina
+m+
Molto attivo
Iscritto da
gen, 2016
Messaggi:
712
Re: I Rootkits
17 lug 2016, 19:22
oregon ha scritto:
Allora avete un sistema molto lento, sono approcci old style ormai obsoleti.
Non direi ... ma non posso andare oltre.
... sono ... sono ... ti segnalo che i "dischi" M2 (che costano come una cena in un buon ristorante) hanno una banda effettiva di 2,5GigaBYTE (non bit) al secondo in lettura e 1,5 in scrittura, ovviamente ci vogliono server "moderni", perchè i vecchi sono privi di interfacce e servono adattatori PCIe non sempre validi (alcuni sì).
Bon chiuso il discorso su virtualizzazione e storage moderno
M
Megalinux
Pochi posts
Iscritto da
lug, 2016
Messaggi:
24
Re: I Rootkits
17 lug 2016, 19:24
+m+ ha scritto:
oregon ha scritto:
+m+ ha scritto:
EDIT: tranne quello microsoft
Solo per la cronaca e la completezza della tua enciclopedica conoscenza, si chiama HyperV e non lo paragonerei a virtualbox ...
Certo lo so, ne amministro una mezza dozzina, ma sono delle chiaviche immonde
E virtualbox è mooolto meglio di m$, per il banale fatto che NON è un virtualizzatore "bare metal", il che consente di usare sistemi operativi, e file system, non giocattolo.
Essendo di Oracle, che a sua volta ha acquistato Sun, funziona benissimo su Solaris, anche senza i vari "cugini" open tipo illumos e così via.
Virtualbox su Solaris batte merda-microsoft 1000 a 1. In realtà spesso non si virtualizza neppure più, su solaris, a cagione della possibilità di fare snapshot del sistema selezionabili all'avvio "stile grub".
In pratica i mitici "rootkit", installazioni andate a male, corruzioni del sistema operativo o sticazzi si risolvono semplicemente riavviando la macchina
Se sei sicuro che i mitici rootkit si risolvono riavviando la macchina allora va bene così. Oltre a nessun Windows amministro dei sistemi GNU/Linux e dei sistemi IBM......(uno in particolare). Cmq, se tutto si riduce ad riavviare la macchina allora OK
O
oregon
Super Famoso
Iscritto da
nov, 2011
Messaggi:
21551
Re: I Rootkits
17 lug 2016, 19:27
+m+ ha scritto:
oregon ha scritto:
Allora avete un sistema molto lento, sono approcci old style ormai obsoleti.
Non direi ... ma non posso andare oltre.
... sono ... sono ... ti segnalo che i "dischi" M2 (che costano come una cena in un buon ristorante) hanno una banda effettiva di 2,5GigaBYTE (non bit) al secondo in lettura e 1,5 in scrittura, ovviamente ci vogliono server "moderni", perchè i vecchi sono privi di interfacce e servono adattatori PCIe non sempre validi (alcuni sì).
Bon chiuso il discorso su virtualizzazione e storage moderno
Scusa ... ma se ho solo scritto il nome di una società che ha mille prodotti, da cosa hai dedotto tutto quanto?

Sai quanta cache possono avere questi dispositivi? Praticamente lavori quasi in RAM ...

Hai forse equivocato o sparato?
+m+
Molto attivo
Iscritto da
gen, 2016
Messaggi:
712
Re: I Rootkits
17 lug 2016, 19:29
Megalinux ha scritto:
Se sei sicuro che i mitici rootkit si risolvono riavviando la macchina allora va bene così.
Bhè sì, sono proprio sicurissimo, non sicuro.
Se sei curioso ti posto pure un video prima di andare a magnare.
EDIT: Vabbuò non voglio far casini proprio prima di lunedì mattina, accontentati di un'immagine

Oltre a nessun Windows amministro dei sistemi GNU/Linux e dei sistemi IBM......(uno in particolare). Cmq, se tutto si riduce ad riavviare la macchina allora OK
Si vede che sei abituato a sistemi operativi giocattolo, vabbè non c'è mica nulla di male.
+m+
Molto attivo
Iscritto da
gen, 2016
Messaggi:
712
Re: I Rootkits
17 lug 2016, 19:32
oregon ha scritto:
Scusa ... ma se ho solo scritto il nome di una società che ha mille prodotti, da cosa hai dedotto tutto quanto?

Sai quanta cache possono avere questi dispositivi? Praticamente lavori quasi in RAM ...

Hai forse equivocato o sparato?
Non ho equivocato nè sparato, hai scritto tu "fuori", il che vuol dire lento e latente. Riguardo alla cache, di nuovo è "robba vecchia", un server moderno anche di fascia media monta facilmente 768GB di RAM e anche più (ovviamente non Dell, perchè costerebbe un fantastiliardo, ma basta predere le Kingston certificate a 1/10 del prezzo, chiuso inciso).
Perfino un server da segretaria porta oggi 128GB.

Devi accedere o registrarti per scrivere nel forum

46 risposte