Re: Rootkit (era problema con pstree libncurses)

To: debian-user-spanish@lists.debian.org
Subject: Re: Rootkit (era problema con pstree libncurses)
From: Alvaro <accsc@arbornet.org>
Date: Sun, 13 Feb 2005 13:07:39 +0100
Message-id: <[🔎] 200502131307.39647.accsc@arbornet.org>
In-reply-to: <[🔎] 420E5324.2060000@empresascadiz.com>
References: <[🔎] 420E5324.2060000@empresascadiz.com>

El Sábado 12 Febrero 2005 20:04, AntonioCadiz escribió:
> Me estoy volviendo algo paranoico y no sé mucho de esto. ¿Alguien sabe
> cómo puedo borrar estos archivos?
>
> A ver. Creo que he encontrado al culpable. Es el usuario 3287. Y por lo
> visto, es más poderoso que root, porque no me deja borrar ninguno de
> estos archivos.
>
>     debian:/# ls -l / -R | grep 3287
>     -rwxr-xr-x   1 3287     users       35464 Feb  9 15:09 login
>     -rwxr-xr-x   1 3287     users       39696 Mar 18  2002 ls
>     -rwxr-xr-x   1 3287     users       54152 Nov 24  2001 netstat
>     -rwxr-xr-x   1 3287     users       62920 Aug 25  2003 ps
>     -rwxr-xr-x   1 3287     users       31504 Nov 24  2001 ifconfig
>     -rwxr-xr-x   1 3287     users       26496 Jan  3  2002 syslogd
>     -rwxr-xr-x   1 3287     users       39696 Nov 29  2000 dir
>     -rwxr-xr-x   1 3287     users       59536 Jun  2  2001 find
>     -rwxr-xr-x   1 3287     users       31452 May 16  2002 md5sum
>     -rwxr-xr-x   1 3287     users       12340 Mar  2  2002 pstree
>     -rwxr-xr-x   1 3287     users       23560 Nov 29  2000 slocate
>     -rwxr-xr-x   1 3287     users       33992 Aug 25  2003 top
>     -rwxr-xr-x   1 3287     users       82628 Nov 29  2000 lsof
>     -rwxr-xr-x   1 3287     users       98776 Mar 22  2002 ttymon
>
> Y por lo visto, al tener el ls infectado, no me deja ver ciertos archivos.
>
>     ls: /proc/177/exe: No such file or directory
>     ls: /proc/2/exe: No such file or directory
>     ls: /proc/3/exe: No such file or directory
>     ls: /proc/4/exe: No such file or directory
>     ls: /proc/5/exe: No such file or directory
>     ls: /proc/6/exe: No such file or directory
>     ls: /proc/7/exe: No such file or directory
>     ls: /proc/71/exe: No such file or directory
>
> <paranoico total>
> Y, esto no sé si puede significar algo, pero aparece el 3287 en estos
> archivos. Creo que es pura casualidad.
>
>     -rwxr-xr-x   1 root     bin          3287 Sep  9 14:29 find.cgi
>     -rwxr-xr-x   1 root     bin          3287 Dec 28 20:02 find.cgi
>     -rw-r--r--   1 root     root         3287 Feb 25  2002 ioctl.c
> </paranoico total>
>
> Cuando termine con esto voy a escribir un libro de misterio. Internet
> sólo me dice que reinstale el sistema. No me da más soluciones. ¿Tenéis
> vosotros alguna?. Realmente esta vez necesito ayuda.
>
> --
> Zalu2
> Antonio Carrasco.


Hola.


Lo normal es que una vez que haya ejecutado lo que queria borrara los binarios 
(en windows no se puede, XD) con lo que no tienes nada que hacer si has 
seguido utilizando el ordenador porque los inodos ya habran sido 
ocupados(supongo?).

Que no puedas borrar ficheros siendo root....probablemente esten con atributo 
de solo lectura si tienes ext2/3 miralo con lsattr y si es asi lo cambias. De 
todas formas lo de siempre, aisla el sistema de los demas, quita el cable de 
red si lo tienes, haz imagen del disco para posterior analisis (lo veo 
dificil si has tardado mucho desde la intrusion, habra borrado registros y 
demas y si es listo con un wipe) y reinstala absolutamente todo ya que es 
problable que te hayan metido un modulito en el kernel o algo parecido.....

Y tranquilo, que esto le pasa a casi todos.....XD (excepto a esos paranoicos 
de otro planeta)

Saludos,
Alvaro

Reply to:

References:
- Rootkit (era problema con pstree libncurses)
  - From: AntonioCadiz <antonio@empresascadiz.com>

Prev by Date: problema - DVB-S en Debian
Next by Date: Re: Duda de iptables y conexiones al router desde el exterior
Previous by thread: Re: Rootkit (era problema con pstree libncurses)
Next by thread: Guardar pdf
Index(es):
- Date
- Thread