Troyano KLM
Enas... o malas, para mi...
Tengo un servidor potato (antes tenia el kernel 2.2.17) al que le han metido
el troyano KLM (segun me dice el chkrootkit-0.34). El caso es que tenia un
proceso oculto y un inodo oculto (no se si los sigo teniendo, ahora no me
dice nada el chkrootkit). Además, he recibido una llamada diciéndome que mi
máquina es una tumbamáquinas nocturna, de 2 a 3 (segun me han dicho) se
dedica a escanear puertos de otras máquinas y cosas por el estilo.
Segun me he enterado, ese troyano es en realidad un módulo del kernel. De ahí
su capacidad para ocultarse (no sale en /proc). Como medida urgente he
compilao, en otra potato, el 2.2.20 _sin_ soporte de módulos, de forma que el
supuesto módulo troyano no se pueda cargar.
Además, he revisado todos los archivos setuid y setgid, al parecer ninguno de
ellos ha sido modificado. Tampoco lo han sido los que comprueba el chkrootkit
(tengo los ojos chinos de tanto leer md5sums).
Estoy ahora revisando todos los archivos con fecha reciente de modificación
(no se si el malditor troyano es capaz de modificar archivos sin modificar la
fecha de modificación)
También he puesto un firewall delante de esta máquina para loguear todos los
paquetes, a ver que hace esta noche...
El caso es que dicha máquina no se encuentra en mis instalaciones sinó a unos
30Km, en otra empresa, y para colmo no tiene unidad de cdrom; por lo que una
reinstalación a piñón se me hace muy difícil.
Es por eso que si me podeis ayudar en algo, si sabeis algo mas que yo de
dicho troyano, si me podeis decir algo que hacer, etc... porfavor, decidmelo,
ando algo perdido.
--
Jaume Sabater
- Aquí hi va una firma -
Reply to: