Re: Possible LKM Trojan installed

[Pato Valarezo <patovala@pupilabox.net.ec>]

JOSE - wrote:
> Hola amig@s:
>
> Acabo de testear mi Debian (sid), con el programa,
> chkrootkit.
>
> He echo:
>
> apt-get install chkrootkit; chkrootkit
>
> Y el programa entre otras cosas me ha devuelto esto:
>
> .
> .
> Checking `inetd'... not tested
> .
> .
> Searching for anomalies in shell history files...
> Warning: `//root/.bash_history' file size is zero
> nothing found
> .
> .
> Checking `lkm'... You have     9 process hidden for
> readdir command
> You have     9 process hidden for ps command
> Warning: Possible LKM Trojan installed
> .
> .
> Checking `sniffer'... lo: not promisc and no packet
> sniffer sockets
> .
> .
> eth0: PACKET SNIFFER(/sbin/dhclient[1800])
> .
> ...
>
>
> En la mayoria de los casos el test dice:
> not infected  o  not found
>
> Pero no se que esta pasando con las cosas que acabo de
> poneros arriba.
>
> Lkm me acaba de poner la mosca detras de la oreja y me
> estoy empezando a poner nervioso!!!
>
>
> Me poedeis echar un cable.
>
> Salud!!!
>
> Jac.

Pues yo tuve alguna vez un problema similar y me di cuenta que 
efectivamente habian ingresado a un servidor de un cliente, te 
recomiendo que revises tus logs, desde el auth, syslog y algunos otros, 
aunque por lo que leo el intruso ha borrado sus huellas del 
.bash_history, busca en google sobre un sniffer o un troyano llamado 
sukit, yo lo pude eliminar con exito de ese sistema puesto que al 
parecer el niño travieso era inexperto.

suerte


--
patoVala
Linux User#280504
"Dios mira las manos limpias, no las llenas. -- Publio Siro. "