Re: Pregunta poco frecuente sobre apt-get y dkpg

To: debian-user-spanish@lists.debian.org
Subject: Re: Pregunta poco frecuente sobre apt-get y dkpg
From: Matias <listas@nnss.d7.be>
Date: Wed, 8 Oct 2003 06:30:47 -0300
Message-id: <[🔎] 20031008063047.40dcf950.listas@nnss.d7.be>
In-reply-to: <[🔎] 1065603963.770.3.camel@rafaelf>
References: <[🔎] 1065597692.27467.3.camel@rafaelf> <[🔎] 20031008082501.GB17323@dgp.mir.es> <[🔎] 1065603963.770.3.camel@rafaelf>

El Wed, 08 Oct 2003 11:06:03 +0200
"Rafael F." Rodríguez <rafaelf@sitelcom.es> escribió:

> Hola ;-) .
> 
> 	Si claro, lo que intento es encontrar algún posible mecanismo
> 	por el
> cual pueda reinstalar todos los paquetes en el caso de ser pacheados
> por algún rootkit o troyano.
> 
> 	Los rootkit se encargan en sustituir los comandos más comunes,
> 	tales
> como ls, su, sudo, etc.... , en tal caso si reinstalo todos los
> paquetes de una sentada estos comando son re-sustituidos y por lo
> tango el rootkit desaparecerá.
> 
> 	No sé si puede ser la solución definitiva pero hasta ahora me
> 	está
> funcionando, eso sí, teclando el apt-get install --reinstall a mano
> por cada uno de los paquetes :-( .
> 
> 

Hola:
	<comentario de humor negro>Estas combatiendo el hambre y la pobreza,
matando a los pobres y alimentando con éstos a los
hambrientos</comentario de humor negro>

	Luego de una reinstalación, deberías sacar un snapshot de la
integridad de los archivos recién instalados con algún programa (creo
que había uno así en Woody) y comparar cada cierto tiempo.

	Y lo más importante, intentar ver como entro el rootkit en tu
máquina, y si es por algún usuario, tratar de darle los menos recursos
posibles (o rechazarlo e intentar tener acceso físico a esta persona
para .......). Fíjate si con el comando strace notas algo distinto a
lo normal, y tratar de tomar todas las medidas "paranóicas" que puedas
(desde descartar los icmp, hasta capar el ssh para que solo te
responda a tu IP).

	Piensa que si tienes rootkits muy a menudo en tu sistema, hay algo
que está fallando "alevosamente" y por más reinstalaciones que hagas,
siempre caerás en la misma situación. Si yo estuviese en tu lugar, y
no tengo ningún servicio exclusivo para linux, intentaría cambiarme
hacia otro OS (BeOS, FreeBSD, OpenBSD, NetBSD, etc) para dificultarle
un poco las cosas al atacante e intentar ver si el tipo de ataque es
exclusivo para Linux o para algún servicio en especial.









-- 
Atentamente, yo <Matías>
Nunca hay libertad en una invasión
http://nnss.d7.be
http://savannah.gnu.org/projects/tasklist
Con $ 1786 $ spams desde el 2003-09-22 12:00:00 GMT 000

Reply to:

Follow-Ups:
- Re: Pregunta poco frecuente sobre apt-get y dkpg
  - From: "Rafael F." Rodríguez <rafaelf@sitelcom.es>

References:
- Pregunta poco frecuente sobre apt-get y dkpg
  - From: "Rafael F." Rodríguez <rafaelf@sitelcom.es>
- Re: Pregunta poco frecuente sobre apt-get y dkpg
  - From: Faro <falsa@euro.de.madera>
- Re: Pregunta poco frecuente sobre apt-get y dkpg
  - From: "Rafael F." Rodríguez <rafaelf@sitelcom.es>

Prev by Date: Re: acceder al internet a traves de un linux
Next by Date: Re: Worm.Automat.AHB - Coñazo de gusano ;-(
Previous by thread: Re: Pregunta poco frecuente sobre apt-get y dkpg
Next by thread: Re: Pregunta poco frecuente sobre apt-get y dkpg
Index(es):
- Date
- Thread