[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: mi servidor crackeado?



Tal que el Wed, 1 Nov 2006 22:41:23 +0100
Christian Pinedo Zamalloa <christian.pinedo.zamalloa@gmail.com> tuvo a bien
escribir:

> La versión que tengo instalada es la de los Backports de debian, con lo
> que entiendo que es batante reciente. Sin embargo, voy a mirar algunos
> otros detectores de rootkit.

La versión que se ofrece para instalar en Sid es la 0.46a-4, mientras que la que
está disponible para descarga en la web (http://www.chkrootkit.org/) es la 0.47

> El problema es que la detección que me da chkrootkit no me da siempre
> sino que en algunas ocasiones. Esa aleatoriedad es lo que me da mas miedo.

La información que da no es más que orientativa en muchos casos. Avisa de
"possible infection" con lo que te deja la puerta abierta a más comprobaciones.
Además, en la descripción del paquete dice:

"Please note that this is not a definitive test, it does not ensure that the
target has not been cracked. In addition to running chkrootkit, one should
perform more specific tests"

Aunque lo menciona en el sentido de que "no ha sido crackeado" yo también lo
resaltaría en el contrario, hasta que no se hagan más comprobaciones.

Acabo de instalarlo en el sistema, y me dice:

"Checking `bindshell'... INFECTED (PORTS:  3049 4000)"

Es decir, afirma _categóricamente_ que estoy infectado. Esto fue parte de lo que
me mosqueó en la vez anterior, aunque había más. En este caso, los puertos que
muestra no están abiertos al exterior. El 3049 es el puerto que utiliza un
paquete de encriptación de ficheros, cfs, y el 4000 es utilizado por mldonkey
para conexión local por telnet, para controlarlo.
Con esto no quiero decir que en tu caso no haya nada, sino que es IMPRESCINDIBLE
hacer más comprobaciones.

No obstante, si se trata de un servidor al que se le tiene "mucho cariño" sería
recomendable protegerlo con herramientas preventivas, tipo tripwire o similares,
para evitar llevarse sustos a posteriori.

Un saludo


-- 
_____________________________________________________________
Roberto Rodríguez Rego
JABBER eb0l1@jabber.com
USUARIO GNU/Linux #141919
Clave Pública GNUPG: 0xCB67FFE6 en http://www.keyserver.net
_____________________________________________________________



Reply to: