Re: Rootkit (era problema con pstree libncurses)
El Sábado 12 Febrero 2005 20:04, AntonioCadiz escribió:
> Me estoy volviendo algo paranoico y no sé mucho de esto. ¿Alguien sabe
> cómo puedo borrar estos archivos?
>
> A ver. Creo que he encontrado al culpable. Es el usuario 3287. Y por lo
> visto, es más poderoso que root, porque no me deja borrar ninguno de
> estos archivos.
>
> debian:/# ls -l / -R | grep 3287
> -rwxr-xr-x 1 3287 users 35464 Feb 9 15:09 login
> -rwxr-xr-x 1 3287 users 39696 Mar 18 2002 ls
> -rwxr-xr-x 1 3287 users 54152 Nov 24 2001 netstat
> -rwxr-xr-x 1 3287 users 62920 Aug 25 2003 ps
> -rwxr-xr-x 1 3287 users 31504 Nov 24 2001 ifconfig
> -rwxr-xr-x 1 3287 users 26496 Jan 3 2002 syslogd
> -rwxr-xr-x 1 3287 users 39696 Nov 29 2000 dir
> -rwxr-xr-x 1 3287 users 59536 Jun 2 2001 find
> -rwxr-xr-x 1 3287 users 31452 May 16 2002 md5sum
> -rwxr-xr-x 1 3287 users 12340 Mar 2 2002 pstree
> -rwxr-xr-x 1 3287 users 23560 Nov 29 2000 slocate
> -rwxr-xr-x 1 3287 users 33992 Aug 25 2003 top
> -rwxr-xr-x 1 3287 users 82628 Nov 29 2000 lsof
> -rwxr-xr-x 1 3287 users 98776 Mar 22 2002 ttymon
>
> Y por lo visto, al tener el ls infectado, no me deja ver ciertos archivos.
>
> ls: /proc/177/exe: No such file or directory
> ls: /proc/2/exe: No such file or directory
> ls: /proc/3/exe: No such file or directory
> ls: /proc/4/exe: No such file or directory
> ls: /proc/5/exe: No such file or directory
> ls: /proc/6/exe: No such file or directory
> ls: /proc/7/exe: No such file or directory
> ls: /proc/71/exe: No such file or directory
>
> <paranoico total>
> Y, esto no sé si puede significar algo, pero aparece el 3287 en estos
> archivos. Creo que es pura casualidad.
>
> -rwxr-xr-x 1 root bin 3287 Sep 9 14:29 find.cgi
> -rwxr-xr-x 1 root bin 3287 Dec 28 20:02 find.cgi
> -rw-r--r-- 1 root root 3287 Feb 25 2002 ioctl.c
> </paranoico total>
>
> Cuando termine con esto voy a escribir un libro de misterio. Internet
> sólo me dice que reinstale el sistema. No me da más soluciones. ¿Tenéis
> vosotros alguna?. Realmente esta vez necesito ayuda.
>
> --
> Zalu2
> Antonio Carrasco.
Hola.
Lo normal es que una vez que haya ejecutado lo que queria borrara los binarios
(en windows no se puede, XD) con lo que no tienes nada que hacer si has
seguido utilizando el ordenador porque los inodos ya habran sido
ocupados(supongo?).
Que no puedas borrar ficheros siendo root....probablemente esten con atributo
de solo lectura si tienes ext2/3 miralo con lsattr y si es asi lo cambias. De
todas formas lo de siempre, aisla el sistema de los demas, quita el cable de
red si lo tienes, haz imagen del disco para posterior analisis (lo veo
dificil si has tardado mucho desde la intrusion, habra borrado registros y
demas y si es listo con un wipe) y reinstala absolutamente todo ya que es
problable que te hayan metido un modulito en el kernel o algo parecido.....
Y tranquilo, que esto le pasa a casi todos.....XD (excepto a esos paranoicos
de otro planeta)
Saludos,
Alvaro
Reply to: