Unhide – Encontrando procesos ocultos en Gnu/linux y BSD - Proxor: Unhide – Encontrando procesos ocultos en Gnu/linux y BSD

Security Anti-Hacker

This is the list of NukeSentinel(tm)
banned IP addresses.

• 124.180.243.6 - Injection
• 112.70.211.90 - Admin
• 52.26.150.61 - Flood
• 52.26.150.63 - Flood
• 52.26.150.200 - Flood
• 52.26.150.58 - Flood
• 94.177.249.67 - DDoS
• 161.34.180.20 - DDoS
• 161.34.180.18 - DDoS
• 161.34.180.34 - DDoS
• 161.34.180.39 - DDoS
• 161.34.180.77 - DDoS
• 173.192.165.172 - Injection
• 154.147.150.6 - Injection
• 173.192.216.93 - DDoS
• 8.22.205.203 - Flood
• 8.22.205.202 - Fuerza Bruta
• 94.242.209.169 - Admin
• 189.168.205.166 - Flood
• 201.152.152.131 - DDoS
• 123.123.123.123 - DDoS
• 190.127.237.139 - Scripting
• 189.23.124.111 - Scripting
• 195.117.61.210 - Fuerza Bruta
• 186.111.40.27 - DDoS
• 200.52.221.208 - DDoS
• 161.34.180.183 - DDoS
• 79 20 53 65 42 - Flood
• 201.230.124.10 - DDoS
• 98.14.12.150 - Fuerza Bruta
• 31.171.134.69 - DDoS
• 192.168.15.114 - Fuerza Bruta
• 72.2.180.81 - DDoS
• 52.26.191.226 - Flood
• 52.26.129.120 - Scripting
• 52.26.172.16 - Flood
• 52.26.172.16 - Fuerza Bruta
• 189.220.185.225 - Fuerza Bruta
• 72.9.233.140 - Fuerza Bruta
• 85.11.145.71 - Injection
• 71.145.11.85 - Injection
• 85.11.144.35 - Scripting
• 203.24.188.3 - Scripting
• 130.64.14.66 - DDoS
• 217.15.85.202 - Injection
• 61.91.54.42 - DDoS
• 5.135.166.108 - DDoS
• 58.9.99.67 - DDoS
• 47.89.185.47 - Admin
• 139.59.165.187 - DDoS
• 113.53.231.201 - Scripting
• 6.212.236.117 - DDoS
• 176.9.75.42 - Fuerza Bruta
• 64.56.28.89 - Flood
• 98.172.91.132 - Flood
• 52.50.18.125 - Admin
• 203.74.4.6 - Flood
• 180.183.80.79 - Fuerza Bruta
• 63.85.203.16 - DDoS
• 110.34.34.38 - Scripting
• 203.74.4.2 - Injection
• 98.50.219.239 - Injection
• 171.255.199.3 - DDoS
• 62.210.71.225 - DDoS
• 144.217.158.163 - Admin
• 158.69.31.45 - Scripting
• 89.187.217.112 - Flood
• 45.32.252.131 - Flood

Unhide – Encontrando procesos ocultos en Gnu/linux y BSD

Normal 0 21 false false false MicrosoftInternetExplorer4 /* Style Definitions */ table.MsoNormalTable {mso-style-name:"Tabla normal"; mso-tstyle-rowband-size:0; mso-tstyle-colband-size:0; mso-style-noshow:yes; mso-style-parent:""; mso-padding-alt:0cm 5.4pt 0cm 5.4pt; mso-para-margin:0cm; mso-para-margin-bottom:.0001pt; mso-pagination:widow-orphan; font-size:10.0pt; font-family:"Times New Roman"; mso-ansi-language:#0400; mso-fareast-language:#0400; mso-bidi-language:#0400;}

Recientemente me a tocado limpiar mi computadora después de casi año y medio de tener squeezy (“en testing”) ahora pasando a estable, e realizado una instalación desde cero; y buscando algunas herramientas que permitan mejorar la seguridad en cuanto a LKMS u otras técnicas de ocultación de Rootkits, algunas de ellas ya conocidas como
Rootkithunter, Lynis o tal como Samhain, etc. Que permiten conocer a fondo que está
corriendo por ahí.

Unhide es una herramienta forense que permite descubrir procesos y puertos TCP/UDP
abiertos.

Unhide is a forensic tool to find hidden processes and TCP/UDP ports by rootkits / LKMs or by another hidden technique.

- Detecting hidden processes. Implements six techniques:

- Compare /proc vs /bin/ps output

- Compare info gathered from /bin/ps with info gathered by walking thru the procfs.

- Compare info gathered from /bin/ps with info gathered from syscalls (syscall scanning).

- Full PIDs space occupation (PIDs bruteforcing)

- Reverse search, verify that all thread seen by ps are also seen by the kernel (/bin/ps output vs /proc, procfs walking andsyscall)

- Quick compare /proc, procfs walking and syscall vs /bin/ps output.

- Identify TCP/UDP ports that are listening but not listed in /bin/netstat doing brute forcing of all TCP/UDP ports availables.

El proceso para instalarlo es simple solo basta con compilarlo y ejecutarlo como root.

Lo extraemos:

tar -xf unhide-20110113.tar

Compilamos:

gcc –static unhide.c -o unhide

gcc –static unhide-tcp.c -o unhide-tcp

gcc -Wall -O2 –static -pthread unhide-linux26.c -o unhide-linux26

y listo a correr:

./sanity.sh

Con esto el programa escaneará y estará en búsqueda de procesos ocultos.

Para descargar:
http://sourceforge.net/projects/unhide/files/unhide-20110113.tgz/download