Re: Resultado de chkrootkit sospechoso

To: Lista de Correo Debian User Spanish <debian-user-spanish@lists.debian.org>
Subject: Re: Resultado de chkrootkit sospechoso
From: Ronald Urbano <ronald@cyberline.com.pe>
Date: Fri, 23 Feb 2007 14:53:19 -0500
Message-id: <[🔎] 45DF462F.7070008@cyberline.com.pe>
In-reply-to: <[🔎] 45DF439A.6060002@gmail.com>
References: <[🔎] 45DF3FE7.5060107@gmail.com> <[🔎] 45DF4071.8010805@mordred.cmat.edu.uy> <[🔎] 45DF439A.6060002@gmail.com>


Si pruebas con el rkhunter y lo ejecutas asi  :
# rkhunter - c --createlogfile  archivo.log

buscas luego en archivo.log la ruta de los posibles infectados; Loprimero seria borrar los mismos, que de seguro no se querran borrar pqtienen permisos especiales, si es así, prueba quitandolos con un "chattr-ai file_infectado" de ahi te dejará borrarlos.

Seguramente el "ps" , el "top" "netstat" y algunos otros estanreemplazados, asi que no te mostrara todos los procesos reales, mejor silos reemplazas por ejecutables confiables de otro sistema.

Sin embargo te recomiendo ir instalando otro sistema ya que si has sidovulnerado nunca se sabe si te han dejado algo corriendo y q el rkhuntero chkrrotkit no te lo detectan, estos detectres de rootkit buscan enrutas especificas y cabe la posibilidad q te hayan dejado algo en otrasubicaciones.


Atte.

Ronald -



Pedro Jose Martin Cano escribió:

¿Cómo los testeo?

Gracias

Miguel Da Silva - Centro de Matemática escribió:

Pedro Jose Martin Cano wrote:

Realizando un análisis con chkrootkit ha detectado esto, y estoy
realmente preocupado:

eth1: PACKET SNIFFER(/sbin/dhclient3[3063])
Checking `lkm'... You have     2 process hidden for readdir command
You have     2 process hidden for ps command
chkproc: Warning: Possible LKM Trojan installed
Searching for suspicious files and dirs, it may take a while...
/usr/lib/xulrunner/.autoreg
/usr/lib/jvm/java-1.5.0-sun-1.5.0.10/.systemPrefs
/usr/lib/jvm/.java-1.5.0-sun.jinfo
/usr/lib/iceweasel/.autoreg
/usr/lib/eclipse/plugins/org.eclipse.platform.source_3.2.1.r321_v20060921-MGDh_08KUYM-Bvn/src/org.eclipse.ui.intro_3.2.1.R321_v20060810/.options

/usr/lib/eclipse/plugins/org.eclipse.platform.source_3.2.1.r321_v20060921-MGDh_08KUYM-Bvn/src/org.eclipse.ui.intro.universal_3.2.1.R321_v20060905/.options

/usr/lib/eclipse/plugins/org.eclipse.pde.build_3.2.1.r321_v20060823/.options

/usr/lib/eclipse/plugins/org.eclipse.help.webapp_3.2.1.R321_v20060803/.options

/usr/lib/eclipse/plugins/org.eclipse.ui.intro.universal_3.2.1.R321_v20060905/.options

/usr/lib/eclipse/.eclipseproduct
/lib/init/rw/.ramfs

Tendré un el troyano ese instalado? ¿Como puedo ver los procesos
ocultos? Aparte de los plugins de eclipse, le veis algo sospechoso a
esos archivos?

Chequeaste estos archivos?

/usr/lib/xulrunner/.autoreg
/lib/init/rw/.ramfs
/usr/lib/iceweasel/.autoreg

Para los procesos no sé si ps te ayudaría, pero sería buena idea
probar con eso.

Saludos.

Reply to:

Follow-Ups:
- Re: Resultado de chkrootkit sospechoso
  - From: Pedro Jose Martin Cano <ercrokan@gmail.com>
- Re: Resultado de chkrootkit sospechoso
  - From: Pedro Jose Martin Cano <ercrokan@gmail.com>

References:
- Resultado de chkrootkit sospechoso
  - From: Pedro Jose Martin Cano <ercrokan@gmail.com>
- Re: Resultado de chkrootkit sospechoso
  - From: Miguel Da Silva - Centro de Matemática <mdasilva@mordred.cmat.edu.uy>
- Re: Resultado de chkrootkit sospechoso
  - From: Pedro Jose Martin Cano <ercrokan@gmail.com>

Prev by Date: Re: Resultado de chkrootkit sospechoso
Next by Date: Re: Resultado de chkrootkit sospechoso
Previous by thread: Re: Resultado de chkrootkit sospechoso
Next by thread: Re: Resultado de chkrootkit sospechoso
Index(es):
- Date
- Thread