Re: Resultado de chkrootkit sospechoso
¿Cómo los testeo?
Gracias
Miguel Da Silva - Centro de Matemática escribió:
> Pedro Jose Martin Cano wrote:
>> Realizando un análisis con chkrootkit ha detectado esto, y estoy
>> realmente preocupado:
>>
>> eth1: PACKET SNIFFER(/sbin/dhclient3[3063])
>> Checking `lkm'... You have 2 process hidden for readdir command
>> You have 2 process hidden for ps command
>> chkproc: Warning: Possible LKM Trojan installed
>> Searching for suspicious files and dirs, it may take a while...
>> /usr/lib/xulrunner/.autoreg
>> /usr/lib/jvm/java-1.5.0-sun-1.5.0.10/.systemPrefs
>> /usr/lib/jvm/.java-1.5.0-sun.jinfo
>> /usr/lib/iceweasel/.autoreg
>> /usr/lib/eclipse/plugins/org.eclipse.platform.source_3.2.1.r321_v20060921-MGDh_08KUYM-Bvn/src/org.eclipse.ui.intro_3.2.1.R321_v20060810/.options
>>
>> /usr/lib/eclipse/plugins/org.eclipse.platform.source_3.2.1.r321_v20060921-MGDh_08KUYM-Bvn/src/org.eclipse.ui.intro.universal_3.2.1.R321_v20060905/.options
>>
>> /usr/lib/eclipse/plugins/org.eclipse.pde.build_3.2.1.r321_v20060823/.options
>>
>> /usr/lib/eclipse/plugins/org.eclipse.help.webapp_3.2.1.R321_v20060803/.options
>>
>> /usr/lib/eclipse/plugins/org.eclipse.ui.intro.universal_3.2.1.R321_v20060905/.options
>>
>> /usr/lib/eclipse/.eclipseproduct
>> /lib/init/rw/.ramfs
>>
>> Tendré un el troyano ese instalado? ¿Como puedo ver los procesos
>> ocultos? Aparte de los plugins de eclipse, le veis algo sospechoso a
>> esos archivos?
>>
>>
>
> Chequeaste estos archivos?
>
> /usr/lib/xulrunner/.autoreg
> /lib/init/rw/.ramfs
> /usr/lib/iceweasel/.autoreg
>
> Para los procesos no sé si ps te ayudaría, pero sería buena idea
> probar con eso.
>
> Saludos.
Reply to: