Re: Sobre rootkits

To: debian-user-spanish@lists.debian.org
Subject: Re: Sobre rootkits
From: mariodebian <mariodebian@gmail.com>
Date: Sat, 11 Nov 2006 15:33:05 +0100
Message-id: <[🔎] 1163255585.5501.7.camel@localhost>
In-reply-to: <[🔎] 20061111133516.25809.qmail@web50910.mail.yahoo.com>
References: <[🔎] 20061111133516.25809.qmail@web50910.mail.yahoo.com>

El sáb, 11-11-2006 a las 07:35 -0600, Andres Aponte escribió:
> Saludos lista, en dias pasados un sistema Debian linux que yo
> administro fue atacado, todos los archivos del directorio /var/log
> fueron borrados y reemplazados por directorios vacios, ademas muchos
> comandos del sistema desaparecieron como el comando passwd, shutdown,
> etc, sin embargo de nuevo reinstale el comando passwd para cambiar la
> clave del root pero la cambiaba aparentemente de forma satisfactoria,
> pero seguia la misma, antes de borrar y reinstalar el sistema
> operativo intente revisar y auditarlo para encontrar cosas
> sospechosas, instale la herramienta chkrootkit y al ejecutarla
> encontro lo que podriaser un rootkit, pero consultando en google
> encontre que se trataba de un falso positivo ya que el sistema tenia
> instalado portsentry y al bajar el servicio ya desaparecia dicho falso
> positivo. Lo unico que pude encontrar fue unas conexiones extrañas
> desde direcciones ip provenientes de China pero no encontre nada mas,
> bueno el caso es que quisiera sabe si alguien que haya tenido
> experiencia con esto puede recomendarme herramientas para auditar mi
> sistemas como detectores de rootkits o herramientas de analisis
> forense, aunque se que en un caso como el que me paso lo mas adecuado
> es borrar y reinstalar de nuevo el sistema mi interes es saber de
> donde y como fue ocasionado dicho ataque.
>  
> Andres Aponte M.


Hola.

Lo primero de todo, haz una copia de particiones (incluidas swap) del
equipo a ser posible sin haber reiniciado y desconectalo de internet.

En rediris [1] (red libre que controla las conexiones de la universidad
en España y otras mil cosas) se hizo un concurso [2] hace un tiempo en
el que entregaban las imágenes de un equipo comprometido.

Leyendo por ejemplo los resultados [3] del ganador del concurso puedes
aprender un montón.

Suerte en el análisis forense.

[1] http://www.rediris.es/
[2] http://www.rediris.es/cert/ped/reto/
[3] http://www.rediris.es/cert/ped/reto/resultados.html
-- 
http://soleup.eup.uva.es/mariodebian

Attachment: signature.asc
Description: Esta parte del mensaje =?ISO-8859-1?Q?est=E1?= firmada digitalmente

Reply to:

References:
- Sobre rootkits
  - From: Andres Aponte <andresglinux@yahoo.com>

Prev by Date: Re: Arrancar debian que esta en sda1 desde grub
Next by Date: Re: sobre repo
Previous by thread: Sobre rootkits
Next by thread: Atajos de teclas en Gnome
Index(es):
- Date
- Thread