Re: Resultado de chkrootkit sospechoso

[Miguel Da Silva - Centro de Matemática <mdasilva@mordred.cmat.edu.uy>]

Pedro Jose Martin Cano wrote:
> Realizando un análisis con chkrootkit ha detectado esto, y estoy
> realmente preocupado:
>
> eth1: PACKET SNIFFER(/sbin/dhclient3[3063])
> Checking `lkm'... You have     2 process hidden for readdir command
> You have     2 process hidden for ps command
> chkproc: Warning: Possible LKM Trojan installed
> Searching for suspicious files and dirs, it may take a while...
> /usr/lib/xulrunner/.autoreg
> /usr/lib/jvm/java-1.5.0-sun-1.5.0.10/.systemPrefs
> /usr/lib/jvm/.java-1.5.0-sun.jinfo
> /usr/lib/iceweasel/.autoreg
> /usr/lib/eclipse/plugins/org.eclipse.platform.source_3.2.1.r321_v20060921-MGDh_08KUYM-Bvn/src/org.eclipse.ui.intro_3.2.1.R321_v20060810/.options
> /usr/lib/eclipse/plugins/org.eclipse.platform.source_3.2.1.r321_v20060921-MGDh_08KUYM-Bvn/src/org.eclipse.ui.intro.universal_3.2.1.R321_v20060905/.options
> /usr/lib/eclipse/plugins/org.eclipse.pde.build_3.2.1.r321_v20060823/.options
> /usr/lib/eclipse/plugins/org.eclipse.help.webapp_3.2.1.R321_v20060803/.options
> /usr/lib/eclipse/plugins/org.eclipse.ui.intro.universal_3.2.1.R321_v20060905/.options
> /usr/lib/eclipse/.eclipseproduct
> /lib/init/rw/.ramfs
>
> Tendré un el troyano ese instalado? ¿Como puedo ver los procesos
> ocultos? Aparte de los plugins de eclipse, le veis algo sospechoso a
> esos archivos?

Chequeaste estos archivos?

/usr/lib/xulrunner/.autoreg
/lib/init/rw/.ramfs
/usr/lib/iceweasel/.autoreg

Para los procesos no sé si ps te ayudaría, pero sería buena idea probar 
con eso.

Saludos.
--
Miguel Da Silva
Administrador de Red
Centro de Matemática - http://www.cmat.edu.uy
Facultad de Ciencias - http://www.fcien.edu.uy
Universidad de la República - http://www.rau.edu.uy