Re: mi servidor crackeado?

To: debian-user-spanish@lists.debian.org
Subject: Re: mi servidor crackeado?
From: Christian Pinedo Zamalloa <christian.pinedo.zamalloa@gmail.com>
Date: Thu, 2 Nov 2006 11:15:56 +0100
Message-id: <[🔎] 20061102101556.GC3771@tartalo.rebelbase.dydns.org>
Mail-followup-to: debian-user-spanish@lists.debian.org
In-reply-to: <[🔎] 200611020836.26559.israel@sistematica.es>
References: <[🔎] 20061101202440.GB4158@tartalo.rebelbase.dydns.org> <[🔎] 20061101215331.67d1fc14@localhost.localdomain> <[🔎] 20061101214123.GD4158@tartalo.rebelbase.dydns.org> <[🔎] 200611020836.26559.israel@sistematica.es>

On Thu, Nov 02, 2006 at 08:36:22AM +0100, Israel Gutierrez wrote:
> El Miércoles, 1 de Noviembre de 2006 22:41, Christian Pinedo Zamalloa 
> escribió:
> 
> > > > estoy un tanto preocupado ya que ante comportamientos un poco raros del
> > > > servidor en cuestiones como quotas o conexión ssh y recelos me han
> > > > hecho comprobar periodicamente el servidor con "chkrootkit". La
> > > > cuestión es que en algunas comprobaciones obtengo el siguiente mensaje:
> > > >
> > > > You have     1 process hidden for readdir command
> > > > You have     1 process hidden for ps command
> > > > chkproc: Warning: Possible LKM Trojan installed
> 
> Si buscas ese error en google verás la cantidad tan enorme de falsos positivos 
> que le ha dado a la gente. Mucho mejor que chkrootkit es rkhunter, aunque es 
> bueno mantener ambos. Antes de tomar medidas drásticas, analiza el tráfico de 
> red de esa máquina, y/o utiliza comandos compilados estáticamente en un 
> soporte de sólo lectura, para comprobar memoria, recursos o conexiones de 
> red.
> 

Lo primero gracias a todos por vuestros consejos. La verdad que tambien
estoy empezando a pensar que ha sido un falso positivo. De hecho, he
utilizado rkhunter y no me ha detectado nada.

Para asegurarme he creado un script que cada 5 minutos se ejecuta y en
caso de que chkrootkit detecte algo tambien ejecuto rkhunter y guardo
informacion sobre quien esta conectado en la maquina, procesos y
conexiones de red. Con esto espero asegurarme si ha sido un falso
positivo o no.

Ahora lo que me estoy planteando es buscar una solución que más adelante
no me provoque tantas dudas. Utilizo Logwatch para comprobar los logs
diariamente, pero los logs pueden ser modificados por un atacante con
permisos de root. Así, estoy pensando en un checkeador de integridad
(Integrit, tripwire o aide). Creo que son bastante similares pero si
alguien me puede comentar algo sobre  ellos u otras herramientas que
debería utilizar se lo agradecería.

Un saludos y gracias por los comentarios que ya estaba bastante
"acelerado",

-- 
Christian Pinedo Zamalloa

Reply to:

References:
- mi servidor crackeado?
  - From: Christian Pinedo Zamalloa <christian.pinedo.zamalloa@gmail.com>
- Re: mi servidor crackeado?
  - From: "R.R.R." <robertorr33@enfermundi.com>
- Re: mi servidor crackeado?
  - From: Christian Pinedo Zamalloa <christian.pinedo.zamalloa@gmail.com>
- Re: mi servidor crackeado?
  - From: Israel Gutierrez <israel@sistematica.es>

Prev by Date: Consejo sobre PCI
Next by Date: Re: Hacer .iso
Previous by thread: Re: mi servidor crackeado?
Next by thread: Re: mi servidor crackeado?
Index(es):
- Date
- Thread