Re: Eliminar troyano

To: debian-user-spanish@lists.debian.org
Subject: Re: Eliminar troyano
From: Matias <listas@nnss.d7.be>
Date: Wed, 8 Oct 2003 06:08:03 -0300
Message-id: <[🔎] 20031008060803.191bd230.listas@nnss.d7.be>
In-reply-to: <[🔎] 1065527816.1387.3.camel@rafaelf>
References: <[🔎] 1065527816.1387.3.camel@rafaelf>

El Tue, 07 Oct 2003 13:56:56 +0200
"Rafael F." Rodríguez <rafaelf@sitelcom.es> escribió:

> Hola Lista.
> 
> 	He realizado un chkrootkit en mi sistema y me he encontrado
> 	con esto

	Yo hace un tiempo creí tener un troyano, corrí el mismo programa que
tu mencionas y los "troyanos" que encontró fueron cosas mías (scripts
en perl que eran inofensivos) y un convertidor de asp a php. Al
tiempo, y luego que un amigo mio que sabe bastante la revise, no pudo
encontrar nada extraño, pero el chkrootkit seguía mostrando lo mismo
(todos programas inofensivos). Por eso te digo que no confíes
demasiado en ese programa (aunque por el error que dices no creo que
se equivoque por mucho).

	Prueba en correr el "strace" utilizando algún CD-Live, y compara los
resultados que muestra el ejecutable de tu disco con el del CD-Live.

> 
> Checking `lkm'... You have     2 process hidden for ps command
> Warning: Possible LKM Trojan installed
> 
> Ademas de volver a revisar el cortafuegos ¿como puedo eliminarlo sin
> necesidad de reinstalar el sistema?

	El firewall solo es la primer barrera de defensa, nada más. Si tienes
un servidor web con agujeros de seguridad importantes (por decir algún
servicio), y estás recibiendo ataques, para el firewall será todo
normal y permitido.

	Si es una máquina en producción, que tiene información importante,
creo que deberías sacarla de línea y tratar de estudiarla para ver que
tan grave es el asunto. Pero si es una máquina casera, fíjate de hacer
un backup de los archivos de configuración (revisando que tiene cada
uno) junto con los archivos de tus usuarios, y reinstala; te ahorrarás
mucho tiempo.

> 
> 	He teclado lo siguiente find / -perm +4000 -print
> y me ha devuelvo: 
> 	/bin/su
> 	/bin/ping
> 	/bin/mount
> 	/bin/umount
> 	/bin/xlogin

	Los permisos están bien, pero ¿el chkrootkit te los marca como
infectados? Prueba de ver si encuentras algo sospechoso con strace

> 
> 	¿Si reinstalo esto paquetes me desaparece el problema?
> 
	No exactamente, si esos paquetes estaban infectados de alguna manera,
y no hay nada que los infecte otra vez, al reinstalarlos acabarían
todos tus problemas, pero puede ser que sigas teniendo el troyano que
los sigue infectando, y luego de la reinstalación seguirás teniendo el
mismo problema.







-- 
Atentamente, yo <Matías>
Nunca hay libertad en una invasión
http://nnss.d7.be
http://savannah.gnu.org/projects/tasklist
Con $ 1786 $ spams desde el 2003-09-22 12:00:00 GMT 000

Reply to:

Follow-Ups:
- Re: Eliminar troyano
  - From: "Rafael F." Rodríguez <rafaelf@sitelcom.es>

References:
- Eliminar troyano
  - From: "Rafael F." Rodríguez <rafaelf@sitelcom.es>

Prev by Date: Re: Pregunta poco frecuente sobre apt-get y dkpg
Next by Date: Re: Worm.Automat.AHB - Coñazo de gusano ;-(
Previous by thread: Eliminar troyano
Next by thread: Re: Eliminar troyano
Index(es):
- Date
- Thread