Re: Un troyano?

To: Josep Ysern <josepyl66@yahoo.es>, debian-user-spanish@lists.debian.org
Subject: Re: Un troyano?
From: Julio León <irrealidad@yahoo.com>
Date: Mon, 15 Nov 2004 21:56:44 -0600 (CST)
Message-id: <20041116035644.81881.qmail@web41101.mail.yahoo.com>
In-reply-to: <200411152258.32950.josepyl66@yahoo.es>

 --- Josep Ysern <josepyl66@yahoo.es> escribió: 
Hola

> Estando trabajando, de repente el sistema se ha
> ralentizado mucho y el led del 
> disco duro se ha pyuesto a funcionar.

Eso es natural, hay muchos procesos que los que
empaquetan debian programan para ejecución con cron;
hay uno particularmente demandante, que es find
ejecutado por el usuario ´nobody', el cual puede
ralentizar todo tu sistema, sobre todo si no has
optimizado tu disco duro con hdparm. Nobody es un
usuario autorizado, no te preocupes, está diseñado
para tareas domésticas.

> (KDE) casi se ha 
> congelado. He optado por salir del KDE y volver a
> entrar. He mirado el 
> syslog, pero poruna parte no lo sé interpretar bien
> y por otra todo se repite 
> de día en día, lo que me hace pensar que no ha
> habido nada extraño. Se me ha 
> ocurrido aplicar el chkrootkit y me da todo normal
> salvo esto:
> 
> 
> Checking `sshd'... /usr/bin/strings: Warning: '/' is
> not an ordinary file
> not infected
> Checking `lkm'... You have    10 process hidden for
> readdir command
> You have    10 process hidden for ps command
> Warning: Possible LKM Trojan installed
> 
> ¿Alguien tiene idea de cómo puedo resolver el tema y
> de si verdaderamente es 
> grave? ¿Qué procesos pueden estar en marcha no
> visibles para el comando ps? 
> ¿Cómo localizarlos y pararlos?

No soy experto en seguridad - es más no soy experto en
nada ;-) - pero por algún lugar leí que ps no es capaz
de leer ciertos procesos, y que son estos mismos
procesos los que son reportados como ocultos por
chkrootkit. Por ejemplo en mi caja debian, ejecutando
chkrootkit encuentro 5 procesos escondidos para
readdir y ps, y eso que hace sólo 3 días he
reinstalado todo de nuevo sólo porque estaba aburrido
y no tenía nada que hacer :-)
Por otro lado, si la paranoia te agobia, instala
'lsof', que es un programa confiable que te muestra
todos los archivos abiertos, usuario y pid respectivo.



> 
> Muchas gracias de antemano,
> 

Ojalá te sirva !

> Josep
> 
> PD: No estoy en ninguna red. Me conecto a internet
> por medio de un módem 
> dial-up de 56k.
> 
PD: Si usas dial-up, la probabilidad de que un
script-kiddie ( adolescente varón con problemas de
autoestima y transtorno antisocial de la personalidad
) haya husmeado tu caja y haya instalado un rootkit (
troyanos ) es remota... Echale un vistazo a la página
oficial de chkrootkit para más información acerca de
este tipo de troyanos

_________________________________________________________
Do You Yahoo!?
Información de Estados Unidos y América Latina, en Yahoo! Noticias.
Visítanos en http://noticias.espanol.yahoo.com

Reply to:

Follow-Ups:
- Re: Un troyano?
  - From: Josep Ysern <josepyl66@yahoo.es>

References:
- Un troyano?
  - From: Josep Ysern <josepyl66@yahoo.es>

Prev by Date: Re: Acerca de escaneos de puertos
Next by Date: Re: Un troyano?
Previous by thread: Re: Un troyano?
Next by thread: Re: Un troyano?
Index(es):
- Date
- Thread