Sobre rootkits

[Andres Aponte <andresglinux@yahoo.com>]

Saludos lista, en dias pasados un sistema Debian linux que yo administro fue atacado, todos los archivos del directorio /var/log fueron borrados y reemplazados por directorios vacios, ademas muchos comandos del sistema desaparecieron como el comando passwd, shutdown, etc, sin embargo de nuevo reinstale el comando passwd para cambiar la clave del root pero la cambiaba aparentemente de forma satisfactoria, pero seguia la misma, antes de borrar y reinstalar el sistema operativo intente revisar y auditarlo para encontrar cosas sospechosas, instale la herramienta chkrootkit y al ejecutarla encontro lo que podriaser un rootkit, pero consultando en google encontre que se trataba de un falso positivo ya que el sistema tenia instalado portsentry y al bajar el servicio ya desaparecia dicho falso positivo. Lo unico que pude encontrar fue unas conexiones extrañas desde direcciones ip provenientes de China pero no encontre nada mas, bueno el caso es que quisiera sabe si alguien que haya tenido experiencia con esto puede recomendarme herramientas para auditar mi sistemas como detectores de rootkits o herramientas de analisis forense, aunque se que en un caso como el que me paso lo mas adecuado es borrar y reinstalar de nuevo el sistema mi interes es saber de donde y como fue ocasionado dicho ataque.

 

Andres Aponte M.

__________________________________________________
Correo Yahoo!
Espacio para todos tus mensajes, antivirus y antispam ¡gratis!
Regístrate ya - http://correo.espanol.yahoo.com/