Re: Troyano KLM
El vie, 23 de nov de 2001, Jaume Sabater escribió...
> Enas... o malas, para mi...
>
> Tengo un servidor potato (antes tenia el kernel 2.2.17) al que le han metido
> el troyano KLM (segun me dice el chkrootkit-0.34). El caso es que tenia un
> proceso oculto y un inodo oculto (no se si los sigo teniendo, ahora no me
> dice nada el chkrootkit). Además, he recibido una llamada diciéndome que mi
> máquina es una tumbamáquinas nocturna, de 2 a 3 (segun me han dicho) se
> dedica a escanear puertos de otras máquinas y cosas por el estilo.
>
> Segun me he enterado, ese troyano es en realidad un módulo del kernel. De ahí
> su capacidad para ocultarse (no sale en /proc). Como medida urgente he
> compilao, en otra potato, el 2.2.20 _sin_ soporte de módulos, de forma que el
> supuesto módulo troyano no se pueda cargar.
>
> Además, he revisado todos los archivos setuid y setgid, al parecer ninguno de
> ellos ha sido modificado. Tampoco lo han sido los que comprueba el chkrootkit
> (tengo los ojos chinos de tanto leer md5sums).
>
> Estoy ahora revisando todos los archivos con fecha reciente de modificación
> (no se si el malditor troyano es capaz de modificar archivos sin modificar la
> fecha de modificación)
>
> También he puesto un firewall delante de esta máquina para loguear todos los
> paquetes, a ver que hace esta noche...
>
> El caso es que dicha máquina no se encuentra en mis instalaciones sinó a unos
> 30Km, en otra empresa, y para colmo no tiene unidad de cdrom; por lo que una
> reinstalación a piñón se me hace muy difícil.
>
> Es por eso que si me podeis ayudar en algo, si sabeis algo mas que yo de
> dicho troyano, si me podeis decir algo que hacer, etc... porfavor, decidmelo,
> ando algo perdido.
Hola he encontrado esto en google
http://www.duho.cjb.net/KB/advanced/rootkit/linux-lkm.htm
y hace poco dieron una charla en el IRC (creo que en #root) de como
implementarlos.
Yo no soy sysadmin ni nada por el estilo pero creo que lo más
conveniente es desconectar la máquina de Internet si ha sido
comprometida y estudiar la situación "in situ".
Un saludo, Manuel.
Reply to: