Re: tengo un rootkit instalado?

To: Debian User Spanish <debian-user-spanish@lists.debian.org>
Subject: Re: tengo un rootkit instalado?
From: Pedro Jose Martin Cano <ercrokan@gmail.com>
Date: Sun, 04 Feb 2007 12:45:38 +0100
Message-id: <[🔎] 1170589538.9699.4.camel@localhost>
In-reply-to: <[🔎] 45C3DC12.4030307@estudiante.uam.es>
References: <[🔎] 1170453697.9287.0.camel@localhost> <[🔎] 45C3DC12.4030307@estudiante.uam.es>

Curioso, pase el escaner otra vez, y me detecto otro puerto, en este
caso el 3557. Hice el tcpdump un rato, navegando por internet y eso,
pero no filtró ningún paquete por ese puerto. Por otra parte, he pasado
de dhcp a ip fija, y el resultado ahora es:

ra0: not promisc and no packet sniffer sockets

Puede ser un bug de dhclient3? ¿Tendré efectivamente algún rootkit
instalado?
Por otra parte me aparecen en el analisis cosas como estas:

Checking `wted'... chkwtmp: nothing deleted

Esta, pero supongo que no debo preocuparme:

Searching for anomalies in shell history files... Warning:
`//home/crokan/workspace/.metadata/.plugins/org.eclipse.core.resources/.history' is linked to another file

y esto, que es lo que me tiene un poco mosca:

Searching for suspicious files and dirs, it may take a while... 
/usr/lib/firefox/.autoreg
/usr/lib/jvm/.java-gcj.jinfo
/usr/lib/eclipse/plugins/org.eclipse.help.webapp_3.2.1.R321_v20060803/.options
/usr/lib/eclipse/plugins/org.eclipse.ui.intro.universal_3.2.1.R321_v20060905/.options
/usr/lib/eclipse/plugins/org.eclipse.pde.build_3.2.1.r321_v20060823/.options
/usr/lib/eclipse/plugins/org.eclipse.platform.source_3.2.1.r321_v20060921-MGDh_08KUYM-Bvn/src/org.eclipse.ui.intro_3.2.1.R321_v20060810/.options
/usr/lib/eclipse/plugins/org.eclipse.platform.source_3.2.1.r321_v20060921-MGDh_08KUYM-Bvn/src/org.eclipse.ui.intro.universal_3.2.1.R321_v20060905/.options
/usr/lib/eclipse/.eclipseproduct
/lib/modules/2.6.17-10-386/volatile/.mounted

El sáb, 03-02-2007 a las 01:49 +0100, Javier Ruano escribió:
> Pedro Jose Martin Cano wrote:
> > Hola, pasando el chkrootkit he visto esto:
> > 
> > Checking `sniffer'... lo: not promisc and no packet sniffer sockets
> > ra0: PACKET SNIFFER(/sbin/dhclient3[3566])
> qué susto ! :)
> > 
> > ¿tengo un rootkit instalado?
> man dhclient3
> Vamos obtienes la ip dinámicamente.
> 
> Podrías ver quién utiliza cada puerto haciendo:
> --------------------------
> lsof -si
> netstat -puta
> --------------------------
> o lanzar tcpdump para ver que viene por ese puerto.
> tcpdump -nvv port 3566
> 
> Saludos.
> Javi.
> 
>

Reply to:

Follow-Ups:
- Re: tengo un rootkit instalado?
  - From: "Juan Ramon Martin Blanco" <robejrm@gmail.com>

References:
- tengo un rootkit instalado?
  - From: Pedro Jose Martin Cano <ercrokan@gmail.com>
- Re: tengo un rootkit instalado?
  - From: Javier Ruano <javier.ruano@estudiante.uam.es>

Prev by Date: Re: BitTorrent Gnome
Next by Date: Re: tengo un rootkit instalado?
Previous by thread: Re: tengo un rootkit instalado?
Next by thread: Re: tengo un rootkit instalado?
Index(es):
- Date
- Thread