Re: Troyano KLM

To: debian-user-spanish@lists.debian.org
Subject: Re: Troyano KLM
From: Manuel García <caronte@eresmas.net>
Date: Fri, 23 Nov 2001 19:51:51 +0100
Message-id: <[🔎] 20011123195151.A13418@esquizo>
Mail-followup-to: debian-user-spanish@lists.debian.org
In-reply-to: <[🔎] E167KqX-0008TL-00@carmina>
References: <[🔎] E167KqX-0008TL-00@carmina>

El vie, 23 de nov de 2001, Jaume Sabater escribió...
> Enas... o malas, para mi...
> 
> Tengo un servidor potato (antes tenia el kernel 2.2.17) al que le han metido 
> el troyano KLM (segun me dice el chkrootkit-0.34). El caso es que tenia un 
> proceso oculto y un inodo oculto (no se si los sigo teniendo, ahora no me 
> dice nada el chkrootkit). Además, he recibido una llamada diciéndome que mi 
> máquina es una tumbamáquinas nocturna, de 2 a 3 (segun me han dicho) se 
> dedica a escanear puertos de otras máquinas y cosas por el estilo.
> 
> Segun me he enterado, ese troyano es en realidad un módulo del kernel. De ahí 
> su capacidad para ocultarse (no sale en /proc). Como medida urgente he 
> compilao, en otra potato, el 2.2.20 _sin_ soporte de módulos, de forma que el 
> supuesto módulo troyano no se pueda cargar.
> 
> Además, he revisado todos los archivos setuid y setgid, al parecer ninguno de 
> ellos ha sido modificado. Tampoco lo han sido los que comprueba el chkrootkit 
> (tengo los ojos chinos de tanto leer md5sums).
> 
> Estoy ahora revisando todos los archivos con fecha reciente de modificación 
> (no se si el malditor troyano es capaz de modificar archivos sin modificar la 
> fecha de modificación)
> 
> También he puesto un firewall delante de esta máquina para loguear todos los 
> paquetes, a ver que hace esta noche...
> 
> El caso es que dicha máquina no se encuentra en mis instalaciones sinó a unos 
> 30Km, en otra empresa, y para colmo no tiene unidad de cdrom; por lo que una 
> reinstalación a piñón se me hace muy difícil.
> 
> Es por eso que si me podeis ayudar en algo, si sabeis algo mas que yo de 
> dicho troyano, si me podeis decir algo que hacer, etc... porfavor, decidmelo, 
> ando algo perdido.

Hola he encontrado esto en google

http://www.duho.cjb.net/KB/advanced/rootkit/linux-lkm.htm

y hace poco dieron una charla en el IRC (creo que en #root) de como
implementarlos.

Yo no soy sysadmin ni nada por el estilo pero creo que lo más
conveniente es desconectar la máquina de Internet si ha sido
comprometida y estudiar la situación "in situ".

Un saludo, Manuel.

Reply to:

References:
- Troyano KLM
  - From: Jaume Sabater <jaume@sugra.com>

Prev by Date: Re: HAY ALGUN CHAT DE DEBIAN?????????????
Next by Date: info
Previous by thread: Troyano KLM
Next by thread: Re: Troyano KLM
Index(es):
- Date
- Thread