- #10324: instalacija
[ossec-hids.git] / src / rootcheck / db / rootkit_trojans.txt
1 # @(#) $Id: rootkit_trojans.txt,v 1.20 2009/06/03 19:18:32 dcid Exp $
2 #
3 # rootkit_trojans.txt, (C) Daniel B. Cid
4 # Imported from the rootcheck project.
5 # Some entries taken from the chkrootkit project.
6 #
7 # Lines starting with '#' are not going to be read (comments).
8 # Blank lines are not going to be read too.
9
10 # Each line must be in the following format:
11 # file_name !string_to_search!Description
12
13 # Commom binaries and public trojan entries
14 ls          !bash|^/bin/sh|dev/[^clu]|\.tmp/lsfile|duarawkz|/prof|/security|file\.h!
15 env                     !bash|^/bin/sh|file\.h|proc\.h|/dev/|^/bin/.*sh!
16 echo            !bash|^/bin/sh|file\.h|proc\.h|/dev/[^cl]|^/bin/.*sh!
17 chown           !bash|^/bin/sh|file\.h|proc\.h|/dev/[^cl]|^/bin/.*sh!
18 chmod           !bash|^/bin/sh|file\.h|proc\.h|/dev/[^cl]|^/bin/.*sh!
19 chgrp           !bash|^/bin/sh|file\.h|proc\.h|/dev/[^cl]|^/bin/.*sh!
20 cat                     !bash|^/bin/sh|file\.h|proc\.h|/dev/[^cl]|^/bin/.*sh!
21 bash            !proc\.h|/dev/[0-9]|/dev/[hijkz]!
22 sh                      !proc\.h|/dev/[0-9]|/dev/[hijkz]!
23 uname           !bash|^/bin/sh|file\.h|proc\.h|^/bin/.*sh!
24 date            !bash|^/bin/sh|file\.h|proc\.h|/dev/[^cln]|^/bin/.*sh!
25 du                      !/dev|w0rm|/prof|file\.h!
26 df                      !bash|^/bin/sh|file\.h|proc\.h|/dev/[^clurdv]|^/bin/.*sh!
27 login           !bash|elite|SucKIT|xlogin|vejeta|porcao|lets_log|sukasuk!
28 passwd          !bash|file\.h|proc\.h|/dev/ttyo|/dev/[A-Z]|/dev/[b-s,uvxz]!
29 mingetty        !bash|Dimensioni|pacchetto!
30 chfn            !bash|file\.h|proc\.h|/dev/ttyo|/dev/[A-Z]|/dev/[a-s,uvxz]!
31 chsh            !bash|file\.h|proc\.h|/dev/ttyo|/dev/[A-Z]|/dev/[a-s,uvxz]!
32 mail            !bash|file\.h|proc\.h|/dev/[^nu]!
33 su                      !bash|/dev/[d-s,abuvxz]|/dev/[A-D]|/dev/[F-Z]|/dev/[0-9]|satori|vejeta|conf\.inv!
34 sudo            !bash|satori|vejeta|conf\.inv!
35 crond           !/dev/[^nt]|bash!
36 gpm                     !bash|mingetty!
37 ifconfig        !bash|^/bin/sh|/dev/tux|session.null|/dev/[^cludisopt]!
38 diff            !bash|^/bin/sh|file\.h|proc\.h|/dev/[^n]|^/bin/.*sh!
39 md5sum          !bash|^/bin/sh|file\.h|proc\.h|/dev/|^/bin/.*sh!
40 hdparm          !bash|/dev/ida!
41 ldd                     !/dev/[^n]|proc\.h|libshow.so|libproc.a!
42
43
44 # Trojan entries for troubleshooting binaries
45
46 grep        !bash|givemer|/dev/!
47 egrep           !bash|^/bin/sh|file\.h|proc\.h|/dev/|^/bin/.*sh!
48 find            !bash|/dev/[^tnlcs]|/prof|/home/virus|file\.h!
49 lsof            !/prof|/dev/[^apcmnfk]|proc\.h|bash|^/bin/sh|/dev/ttyo|/dev/ttyp!
50 netstat         !bash|^/bin/sh|/dev/[^aik]|/prof|grep|addr\.h!
51 top                     !/dev/[^npi3st%]|proc\.h|/prof/!
52 ps                      !/dev/ttyo|\.1proc|proc\.h|bash|^/bin/sh!
53 tcpdump         !bash|^/bin/sh|file\.h|proc\.h|/dev/[^bu]|^/bin/.*sh!
54 pidof           !bash|^/bin/sh|file\.h|proc\.h|/dev/[^f]|^/bin/.*sh!
55 fuser           !bash|^/bin/sh|file\.h|proc\.h|/dev/[a-dtz]|^/bin/.*sh!
56 w                       !uname -a|proc\.h|bash!
57
58
59 # Trojan entries for common daemons
60
61 sendmail        !bash|fuck!
62 named           !bash|blah|/dev/[0-9]|^/bin/sh!
63 inetd           !bash|^/bin/sh|file\.h|proc\.h|/dev/[^un%]|^/bin/.*sh!
64 apachectl       !bash|^/bin/sh|file\.h|proc\.h|/dev/[^n]|^/bin/.*sh!
65 sshd            !check_global_passwd|panasonic|satori|vejeta|\.ark|/hash\.zk|bash|/dev[a-s]|/dev[A-Z]/!
66 syslogd         !bash|/usr/lib/pt07|/dev/[^cln]]|syslogs\.h|proc\.h!
67 xinetd          !bash|file\.h|proc\.h!
68 in.telnetd      !cterm100|vt350|VT100|ansi-term|bash|^/bin/sh|/dev[A-R]|/dev/[a-z]/!
69 in.fingerd      !bash|^/bin/sh|cterm100|/dev/!
70 identd          !bash|^/bin/sh|file\.h|proc\.h|/dev/[^n]|^/bin/.*sh!
71 init            !bash|/dev/h|HOME!
72 tcpd            !bash|proc\.h|p1r0c4|hack|/dev/[^n]!
73 rlogin          !p1r0c4|r00t|bash|/dev/[^nt]!
74
75
76 # Kill trojan
77
78 killall         !/dev/[^t%]|proc\.h|bash|tmp!
79 kill            !/dev/[ab,d-k,m-z]|/dev/[F-Z]|/dev/[A-D]|/dev/[0-9]|proc\.h|bash|tmp!
80
81
82 # Rootkit entries
83 /sbin/init              !HOME! Suckit rootkit
84 /proc/1/maps            !init.! Suckit rootkit
85 /etc/rc.d/rc.sysinit    !enyelkmHIDE! enye-sec Rootkit
86
87
88 # ZK rootkit (http://honeyblog.org/junkyard/reports/redhat-compromise2.pdf)
89 /etc/sysconfig/console/load.zk   !/bin/sh! ZK rootkit
90 /etc/sysconfig/console/load.zk   !usr/bin/run! ZK rootkit
91
92
93 # Modified /etc/hosts entries
94 # Idea taken from:
95 # http://blog.tenablesecurity.com/2006/12/detecting_compr.html
96 # http://www.sophos.com/security/analyses/trojbagledll.html
97 # http://www.f-secure.com/v-descs/fantibag_b.shtml
98 /etc/hosts  !^[^#]*avp.ch!Anti-virus site on the hosts file
99 /etc/hosts  !^[^#]*avp.ru!Anti-virus site on the hosts file
100 /etc/hosts  !^[^#]*awaps.net! Anti-virus site on the hosts file
101 /etc/hosts  !^[^#]*ca.com! Anti-virus site on the hosts file
102 /etc/hosts  !^[^#]*mcafee.com! Anti-virus site on the hosts file
103 /etc/hosts  !^[^#]*microsoft.com! Anti-virus site on the hosts file
104 /etc/hosts  !^[^#]*f-secure.com! Anti-virus site on the hosts file
105 /etc/hosts  !^[^#]*sophos.com! Anti-virus site on the hosts file
106 /etc/hosts  !^[^#]*symantec.com! Anti-virus site on the hosts file
107 /etc/hosts  !^[^#]*my-etrust.com! Anti-virus site on the hosts file
108 /etc/hosts  !^[^#]*nai.com! Anti-virus site on the hosts file
109 /etc/hosts  !^[^#]*networkassociates.com! Anti-virus site on the hosts file
110 /etc/hosts  !^[^#]*viruslist.ru! Anti-virus site on the hosts file
111 /etc/hosts  !^[^#]*kaspersky! Anti-virus site on the hosts file
112 /etc/hosts  !^[^#]*symantecliveupdate.com! Anti-virus site on the hosts file
113 /etc/hosts  !^[^#]*grisoft.com! Anti-virus site on the hosts file
114 /etc/hosts  !^[^#]*clamav.net! Anti-virus site on the hosts file
115 /etc/hosts  !^[^#]*bitdefender.com! Anti-virus site on the hosts file
116 /etc/hosts  !^[^#]*antivirus.com! Anti-virus site on the hosts file
117 /etc/hosts  !^[^#]*sans.org! Security site on the hosts file
118
119 # EOF #