JOSE - wrote:
entero de la mitad. He echo esto: #chkrootkit -x lkm|less y los resultados ha sido estos: 1.- Sin habrir las X: --------------------- ROOTDIR is `/' ### ### Output of: ./chkproc -v -v ### 2.- Abriendo las X: ------------------- ROOTDIR is `/' ### ### Output of: ./chkproc -v -v ### PID 4644: not in readdir output PID 4644: not in ps output CWD 4644: /home/xman EXE 4644: /usr/bin/nautilus PID 4647: not in readdir output PID 4647: not in ps output CWD 4647: /home/xman EXE 4647: /usr/lib/gnome-vfs2/gnome-vfs-daemon PID 4668: not in readdir output PID 4668: not in ps output CWD 4668: /home/xman EXE 4668: /usr/bin/nautilus PID 4669: not in readdir output PID 4669: not in ps output CWD 4669: /home/xman EXE 4669: /usr/bin/nautilus PID 4670: not in readdir output PID 4670: not in ps output CWD 4670: /home/xman EXE 4670: /usr/bin/nautilus PID 4671: not in readdir output PID 4671: not in ps output CWD 4671: /home/xman EXE 4671: /usr/bin/nautilus PID 5917: not in readdir output PID 5917: not in ps output CWD 5917: /home/xman EXE 5917: /usr/bin/gnome-terminal PID 5928: not in readdir output PID 5928: not in ps output CWD 5928: /home/xman EXE 5928: /usr/bin/gnome-cups-icon You have 8 process hidden for readdir command You have 8 process hidden for ps command Despues he echo: #ps -aux Y he visto que estos 8 procesos no aparecen listados. Utilizo el escritorio de Gnome, con el navegador Nautilus, el gnome-term.... etc. y estos procesos que lista "chkrootkit" son procesos normales de mi escritorio, asique lo de la mosca detras de la oreja ya se me ha pasado, pero lo de los nervios aun estoy en ello (No entiendo porque "ps -aux" no los detalla). Mi makina no tiene nada que ocultar.... pero no me gustaria servir la lanzadera de algun craker y que mi ip apareceira comprometida en algun asunto sucio. Tambien cabria la posibilidad que alguien de manera oculta me estuviese echando un cable.... cosa de agradecer.... aunque menos probable. Llevo con Software Libre unos tres años y hay muchas cosas que aun ni huelo. Bueno ya se que soy un pesao.... y no me quiero enrrollar mas. Si alguien sabe algo que yo desconozca sobre el tema en cuestion y que a mi se me haya pasado, pues eso, le agraceceria que lo contara. Salud!! Jac.
Bueno!, mira no me hagas demasiado caso por que lo que te voy a contar me ocurrió hace algunos meses y la memoria es frágil, de toooda la documentación y casos que revise y encontré saqué las siguientes conclusiones:
1. definitivamente tu equipo ha sido comprometido y se encuentra funcionando como zoombie de algun proceso o procesos 2. claro que las herramientas usadas para este fin son en primer lugar un sniffer que de alguna manera le permitio al intruso averiguar tu clave de root o de algun usuario ( a mi se me colaron por el webmin, usando un sniffer y ya que el boludo del administrador de ese equipo hacia todo con root, bueno ahi está su merecido) 3. el rootkit que debieron haber instalado se encarga de reemplazar primero el "ps" para ocultar los procesos que se ejecutan, de ahi el error del readdir que no concuerda con lo que el ps deberia mostrar. Tambien cambia otros comandos básicos, te sugiero que veas la fecha de modificación de esos comandos para que te convenzas 4. el rootkit reemplaza el dhcp e instala un sniffer para ver que es lo que estas pasando por toda tu red, osea, a estas alturas del partido el intruso ya debe haber entrado y salido de tu red como si fuera su casa. 5. algo que veo que no has comentado pero que a mi me ocurrió fue que en ciertos momentos no podía logearme usando root en la consola (no en x) y salía las palabra " FUCK can't install ...." la verdad no lo recuerdo bien 6. tambien el rootkit se instala en /usr/share/locale y crea un directorio como sk o otro nombre
todo esto me llevo a la conclusión de que en realidad mi equipo fue atacado, luego de ver los logs encontré las huellas del intruso y desde donde había hecho todo, tambien pude revertir todo el desastre. Entre otras cosas pude bajar los rootkits que este tipo usó y estudiando los scrupts pude revertir todo *espero*, te puedo enviar estos rootkits y las direcciones de donde este travieso los obtuvo
No es una bonita experiencia y lamento ser portador de malas noticias pero peor es que no te lo cuente, como te dije puede que este completamente equivocado por que no soy un forense ni nada parecido para mas info te sugiero que revises:
http://www.soohrt.org/stuff/linux/suckit/ http://openskills.info/view/boxdetail.php?IDbox=20&boxtype=stdout http://www.phrack.org/show.php?p=58&a=7 -- patoVala Linux User#280504"La mejor manera de tener una buena idea es tener muchas ideas. -- Proverbio griego. "