Re: Rootkit (era problema con pstree libncurses)

[Blu <blu@daga.cl>]

On Sat, Feb 12, 2005 at 08:04:04PM +0100, AntonioCadiz wrote:
> Me estoy volviendo algo paranoico y no sé mucho de esto. ¿Alguien sabe 
> cómo puedo borrar estos archivos?
[ ...archivos raros probablemente productos de una intrusion cortados por
 brevedad... ]

Antonio. Si sospechas de una intrusion, y parece que tus sospechas son
fundadas, no debes tratar de analizar el desastre con el sistema vivo.
Si te instalaron un rootkit seguramente las herramientas de diagnostico
y el propio kernel han sido subvertidos, por lo que no puedes confiar en
nada de lo que te digan. Si quieres hacerle una autopsia al sistema, el
procedimiento es matarlo primero, o sea shutdown, luego debes iniciar el
sistema desde un medio limpio, como un livecd o llevar el disco duro a
otra maquina y ahi analizar las particiones del sistema comprometido con
las herramientas del sistema limpio. Teoricamente, despues de mucho
trabajo e investigacion podrias ser capaz de limpiar el sistema, pero no
hay garantias, lo mas facil es reinstalar desde un medio limpio,
salvando, por supuesto, datos de usuario y configuraciones en lo
posible (/home y /etc).

Es bueno de todos modos autopsiar el cadaver para saber por donde se
metieron y cerrar el agujero en la nueva instalacion, de lo contrario,
si la instalacion es igual a la antigua, se van a meter de nuevo.

Blu.