Re: Infección por troyano?

To: debian-user-spanish@lists.debian.org
Subject: Re: Infección por troyano?
From: Excalibur <xklibur@gmail.com>
Date: Mon, 11 Oct 2004 13:56:27 +0200
Message-id: <[🔎] 7d87ac00041011045645b44e8d@mail.gmail.com>
Reply-to: Excalibur <xklibur@gmail.com>
In-reply-to: <[🔎] 416944C3.6060500@elizir.mine.nu>
References: <[🔎] 7d87ac00041010040179267071@mail.gmail.com> <[🔎] 416944C3.6060500@elizir.mine.nu>

On Sun, 10 Oct 2004 16:18:43 +0200, Robert Vall [EliziR]
<elizir@elizir.mine.nu> wrote:
>
>
> Excalibur wrote:
>
> >Saludos:
> >     Acabo de pasar el chkrootkit al sistema y me devuelve:
> >
> >Checking `asp'... not infected
> >Checking `bindshell'... INFECTED (PORTS:  3049)
> >Checking `lkm'... nothing detected
> >Checking `rexedcs'... not found
> >Checking `sniffer'... lo: not promisc and no packet sniffer sockets
> >eth0: PACKET SNIFFER(/sbin/dhclient3[371], /sbin/dhclient3[2335])
> >
> >de lo que deduzco que bindshell me está generando problemas.
> >     En cuanto a lo de eth0, ¿debo preocuparme por lo del packet sniffer?
> >     ¿Cómo puedo solucionar lo de bindshell? Nmap no me dice nada
> >acerca de ese puerto.
> >     Necesito que alguien me eche una mano con esto, se escapa a mis
> >posibilidades, y sigo con problemas con el correo, así que si alguien
> >contesta, espero que lo haga a esta dirección, aunque sea fuera de la
> >lista.
> >
> >
> Bien, solo una pregunta: utilizas algun tipo de utilidad para detectar
> escaneos? Tipo portsentry.

No uso portsentry, pero sí scandet, una utilidad para avisarme en el
caso de que alguien escanee mis puertos.
Quizá me precipité un poco al mandar el correo, pero así, de pronto,
me alarmé bastante. Luego, buscando en Google, ví lo del portsentry y
me quedé "algo" más tranquilo.

> Si esta activado a veces da algun conflicto con el shkrootkit. Paralo
> (/etc/init.d/portsentry stop) y luego mira otda vez el resultado del
> chkrotkit. Bien, esto que digo va mas bien por el problema que te dice
> del "bindshell". Pero por el otro del sniffer... No creo que sea
> problema de esto :S

He probado a matar el proceso con killall, pero no parecía ser ese el
programa que generaba el conflicto. De todas formas, imagino que los
tiros van por ahí, así que será cuestión de ir probando el viejo
método de ensayo y error.
En cuanto a lo del sniffer, pues no me preocupa tanto porque es un
programa que se encarga de mantener actualizados mis DNS, dado que el
proveedor tiene la mala costumbre de cambiarlos cada media hora,
aprox., y supongo que lo hará mediante la inspección de todos los
paquetes que pasan por eth0, y como la interfaz tampoco está en modo
promiscuo...

> Siento si esto no te sirve de nada ^^¡

No te creas... Me ha ayudado bastante. Muchas gracias por molestarte
en contestar.
Un saludo y hasta pronto.

Reply to:

References:
- Infección por troyano?
  - From: Excalibur <xklibur@gmail.com>
- Re: Infección por troyano?
  - From: "Robert Vall [EliziR]" <elizir@elizir.mine.nu>

Prev by Date: Re: Consulta sobre sistemas de ficheros
Next by Date: Re: HTPC distro?
Previous by thread: Re: Infección por troyano?
Next by thread: Qmail y seguridad
Index(es):
- Date
- Thread