Re: Eliminar troyano

To: debian-user-spanish@lists.debian.org
Subject: Re: Eliminar troyano
From: "Rafael F." Rodríguez <rafaelf@sitelcom.es>
Date: Wed, 08 Oct 2003 16:30:14 +0200
Message-id: <[🔎] 1065623414.2097.1.camel@rafaelf>
In-reply-to: <[🔎] 20031008060803.191bd230.listas@nnss.d7.be>
References: <[🔎] 1065527816.1387.3.camel@rafaelf> <[🔎] 20031008060803.191bd230.listas@nnss.d7.be>

Holas ;-) .

	Al final al reinstalar todo ya el chkrootkit no me ha dado ningún
problema, ahora toca la segunda fase, nessus que te crio para ver como
diablos han podido entrar en el sistema :-) .


El mié, 08-10-2003 a las 11:08, Matias escribió:
> El Tue, 07 Oct 2003 13:56:56 +0200
> "Rafael F." Rodríguez <rafaelf@sitelcom.es> escribió:
> 
> > Hola Lista.
> > 
> > 	He realizado un chkrootkit en mi sistema y me he encontrado
> > 	con esto
> 
> 	Yo hace un tiempo creí tener un troyano, corrí el mismo programa que
> tu mencionas y los "troyanos" que encontró fueron cosas mías (scripts
> en perl que eran inofensivos) y un convertidor de asp a php. Al
> tiempo, y luego que un amigo mio que sabe bastante la revise, no pudo
> encontrar nada extraño, pero el chkrootkit seguía mostrando lo mismo
> (todos programas inofensivos). Por eso te digo que no confíes
> demasiado en ese programa (aunque por el error que dices no creo que
> se equivoque por mucho).
> 
> 	Prueba en correr el "strace" utilizando algún CD-Live, y compara los
> resultados que muestra el ejecutable de tu disco con el del CD-Live.
> 
> > 
> > Checking `lkm'... You have     2 process hidden for ps command
> > Warning: Possible LKM Trojan installed
> > 
> > Ademas de volver a revisar el cortafuegos ¿como puedo eliminarlo sin
> > necesidad de reinstalar el sistema?
> 
> 	El firewall solo es la primer barrera de defensa, nada más. Si tienes
> un servidor web con agujeros de seguridad importantes (por decir algún
> servicio), y estás recibiendo ataques, para el firewall será todo
> normal y permitido.
> 
> 	Si es una máquina en producción, que tiene información importante,
> creo que deberías sacarla de línea y tratar de estudiarla para ver que
> tan grave es el asunto. Pero si es una máquina casera, fíjate de hacer
> un backup de los archivos de configuración (revisando que tiene cada
> uno) junto con los archivos de tus usuarios, y reinstala; te ahorrarás
> mucho tiempo.
> 
> > 
> > 	He teclado lo siguiente find / -perm +4000 -print
> > y me ha devuelvo: 
> > 	/bin/su
> > 	/bin/ping
> > 	/bin/mount
> > 	/bin/umount
> > 	/bin/xlogin
> 
> 	Los permisos están bien, pero ¿el chkrootkit te los marca como
> infectados? Prueba de ver si encuentras algo sospechoso con strace
> 
> > 
> > 	¿Si reinstalo esto paquetes me desaparece el problema?
> > 
> 	No exactamente, si esos paquetes estaban infectados de alguna manera,
> y no hay nada que los infecte otra vez, al reinstalarlos acabarían
> todos tus problemas, pero puede ser que sigas teniendo el troyano que
> los sigue infectando, y luego de la reinstalación seguirás teniendo el
> mismo problema.
> 
> 
> 
> 
> 
> 
> 
> -- 
> Atentamente, yo <Matías>
> Nunca hay libertad en una invasión
> http://nnss.d7.be
> http://savannah.gnu.org/projects/tasklist
> Con $ 1786 $ spams desde el 2003-09-22 12:00:00 GMT 000
>

Reply to:

References:
- Eliminar troyano
  - From: "Rafael F." Rodríguez <rafaelf@sitelcom.es>
- Re: Eliminar troyano
  - From: Matias <listas@nnss.d7.be>

Prev by Date: Pregunta sobre el cron
Next by Date: Re: Pregunta poco frecuente sobre apt-get y dkpg
Previous by thread: Re: Eliminar troyano
Next by thread: debian sid, scd0, sr0 e ide-scsi
Index(es):
- Date
- Thread