classic.ISPforum.cz

Z likvidace starého železa jsem dostal do ruky hromadu SSD IDE disků s instalovaným linuxem - pravděpodobně nějakou verzí debianu, nepodařilo se mi na dostupném hw nabootovat, abych to ověřil.
Při přebírání na každém hlásil antivirus přítomnost rootkitu "Gabitzu" v rootu v souborech SSH.LRP a SSHD.LRP. Na každém disku je souborový systém FAT16 a směs DOSu a image linuxových balíčků.
Toto zjištění mě spolu se zveřejněnou zranitelností v ssh na routerosu docela silně znervóznilo a kladu si otázku, jak se to tam sakra dostalo a jak zajistit kontrolu našich zařízení.

Instalační balíky s příponou LRP používal hodně dávno LRP (Linux Router Project) i pozdější pokračovatel LEAF (Linux Embedded Appliance Framework), který možná nějak žije stále. Jo, vychází to z Debianu. Příslušný rootkit měl svoji slávu tak v roce 2005, takže jsi našel pěknou rašelinu. Myslím, že LRP jou fakticky TAR archívy.
Tohle nesloužilo k průniku do systému, ale pak k maskování, že máš system hacknutý a udržování zadních vrátek pro svého pánička.