Rootkit (era problema con pstree libncurses)
Me estoy volviendo algo paranoico y no sé mucho de esto. ¿Alguien sabe
cómo puedo borrar estos archivos?
A ver. Creo que he encontrado al culpable. Es el usuario 3287. Y por lo
visto, es más poderoso que root, porque no me deja borrar ninguno de
estos archivos.
debian:/# ls -l / -R | grep 3287
-rwxr-xr-x 1 3287 users 35464 Feb 9 15:09 login
-rwxr-xr-x 1 3287 users 39696 Mar 18 2002 ls
-rwxr-xr-x 1 3287 users 54152 Nov 24 2001 netstat
-rwxr-xr-x 1 3287 users 62920 Aug 25 2003 ps
-rwxr-xr-x 1 3287 users 31504 Nov 24 2001 ifconfig
-rwxr-xr-x 1 3287 users 26496 Jan 3 2002 syslogd
-rwxr-xr-x 1 3287 users 39696 Nov 29 2000 dir
-rwxr-xr-x 1 3287 users 59536 Jun 2 2001 find
-rwxr-xr-x 1 3287 users 31452 May 16 2002 md5sum
-rwxr-xr-x 1 3287 users 12340 Mar 2 2002 pstree
-rwxr-xr-x 1 3287 users 23560 Nov 29 2000 slocate
-rwxr-xr-x 1 3287 users 33992 Aug 25 2003 top
-rwxr-xr-x 1 3287 users 82628 Nov 29 2000 lsof
-rwxr-xr-x 1 3287 users 98776 Mar 22 2002 ttymon
Y por lo visto, al tener el ls infectado, no me deja ver ciertos archivos.
ls: /proc/177/exe: No such file or directory
ls: /proc/2/exe: No such file or directory
ls: /proc/3/exe: No such file or directory
ls: /proc/4/exe: No such file or directory
ls: /proc/5/exe: No such file or directory
ls: /proc/6/exe: No such file or directory
ls: /proc/7/exe: No such file or directory
ls: /proc/71/exe: No such file or directory
<paranoico total>
Y, esto no sé si puede significar algo, pero aparece el 3287 en estos
archivos. Creo que es pura casualidad.
-rwxr-xr-x 1 root bin 3287 Sep 9 14:29 find.cgi
-rwxr-xr-x 1 root bin 3287 Dec 28 20:02 find.cgi
-rw-r--r-- 1 root root 3287 Feb 25 2002 ioctl.c
</paranoico total>
Cuando termine con esto voy a escribir un libro de misterio. Internet
sólo me dice que reinstale el sistema. No me da más soluciones. ¿Tenéis
vosotros alguna?. Realmente esta vez necesito ayuda.
--
Zalu2
Antonio Carrasco.
Reply to: