Re: mi servidor crackeado?

To: debian-user-spanish@lists.debian.org
Subject: Re: mi servidor crackeado?
From: Christian Pinedo Zamalloa <christian.pinedo.zamalloa@gmail.com>
Date: Wed, 1 Nov 2006 22:41:23 +0100
Message-id: <[🔎] 20061101214123.GD4158@tartalo.rebelbase.dydns.org>
Mail-followup-to: debian-user-spanish@lists.debian.org
In-reply-to: <[🔎] 20061101215331.67d1fc14@localhost.localdomain>
References: <[🔎] 20061101202440.GB4158@tartalo.rebelbase.dydns.org> <[🔎] 20061101215331.67d1fc14@localhost.localdomain>

On Wed, Nov 01, 2006 at 09:53:31PM +0100, R.R.R. wrote:
> Tal que el Wed, 1 Nov 2006 21:24:41 +0100
> Christian Pinedo Zamalloa <christian.pinedo.zamalloa@gmail.com> tuvo a bien
> escribir:
> 
> > hola,
> > 
> > estoy un tanto preocupado ya que ante comportamientos un poco raros del
> > servidor en cuestiones como quotas o conexión ssh y recelos me han hecho
> > comprobar periodicamente el servidor con "chkrootkit". La cuestión es
> > que en algunas comprobaciones obtengo el siguiente mensaje:
> > 
> > You have     1 process hidden for readdir command
> > You have     1 process hidden for ps command
> > chkproc: Warning: Possible LKM Trojan installed
> > 
> > La verdad que no se cuanta fiabilidad en este aviso de chkrootkit que ya
> > comenta que es un Possible caso de LKM Trojan.
> > 
> > Llevo años administrando máquinas con Debian GNU/Linux y otros Unixes y
> > nunca me he encontrado con este problema. Me gustaría que me
> > aconsejaseis que puedo hacer/comprobar si tengo un cracker entre mis
> > usuarios o no: debsums, find, ??????
> > 
> > Agradecería algun consejo (o referencias) que vaya más allá de una
> > reinstalación de Debian. Gracias,
> 
> Tuve un problema parecido hace tiempo, y me temo que fue una falsa alarma.
> Aunque ante la inseguridad, preferí reinstalar el sistema. En mi caso, no es un
> servidor, sino un PC doméstico.
> Mi alarma inicial surgió a raíz del chkrootkit, también. Por lo que pude
> averiguar, se recomendaba instalar la última versión de su página web, porque la
> que instalaba debian por aquél entonces no era la última.
> Por otra parte, te recomendaría comprobar el sistema con otros "cazadores de
> rootkits" Google te ayudará a buscarlos, porque ahora no recuerdo.
> Aparte, tengo en el sistema el antivirus clamav, que también puede ayudar a
> identificar posibles virus y supongo que también rootkits.
> Mantén la mente fría. En mi caso fue lo más difícil...
> Suerte
> 

La versión que tengo instalada es la de los Backports de debian, con lo
que entiendo que es batante reciente. Sin embargo, voy a mirar algunos
otros detectores de rootkit.

El problema es que la detección que me da chkrootkit no me da siempre
sino que en algunas ocasiones. Esa aleatoriedad es lo que me da mas miedo.

Saludos,

-- 
Christian Pinedo Zamalloa

Reply to:

Follow-Ups:
- Re: mi servidor crackeado?
  - From: Israel Gutierrez <israel@sistematica.es>
- Re: mi servidor crackeado?
  - From: "R.R.R." <robertorr33@enfermundi.com>

References:
- mi servidor crackeado?
  - From: Christian Pinedo Zamalloa <christian.pinedo.zamalloa@gmail.com>
- Re: mi servidor crackeado?
  - From: "R.R.R." <robertorr33@enfermundi.com>

Prev by Date: Re: mi servidor crackeado?
Next by Date: compilar kernel 2.6.15.2+layer7 alguien que le aya funcionado
Previous by thread: Re: mi servidor crackeado?
Next by thread: Re: mi servidor crackeado?
Index(es):
- Date
- Thread