Re: Resultado de chkrootkit sospechoso
Ante todo perdon porque me he dado cuenta de que el mensaje anterior lo
envié a un particular, en vez de a la lista. Lo siento, no volverá a
ocurrir.
En cuanto a lo de los rootkit, ya he borrado los archivos sin ningún problema. Ahora
chkrootkit solo me detecta esto:
Checking `sniffer'... lo: not promisc and no packet sniffer sockets
eth1: PACKET SNIFFER(/sbin/dhclient3[3107])
Este creo que es porque la ip la cojo por dhcp
Estos los he estado mirando y no veo nada raro
Searching for suspicious files and dirs, it may take a while...
/usr/lib/jvm/.java-1.5.0-sun.jinfo
/usr/lib/eclipse/plugins/org.eclipse.platform.source_3.2.1.r321_v20060921-MGDh_08KUYM-Bvn/src/org.eclipse.ui.intro_3.2.1.R321_v20060810/.options
/usr/lib/eclipse/plugins/org.eclipse.platform.source_3.2.1.r321_v20060921-MGDh_08KUYM-Bvn/src/org.eclipse.ui.intro.universal_3.2.1.R321_v20060905/.options
/usr/lib/eclipse/plugins/org.eclipse.pde.build_3.2.1.r321_v20060823/.options
/usr/lib/eclipse/plugins/org.eclipse.help.webapp_3.2.1.R321_v20060803/.options
/usr/lib/eclipse/plugins/org.eclipse.ui.intro.universal_3.2.1.R321_v20060905/.options
/usr/lib/eclipse/.eclipseproduct
Este me moskea un poco, pero no se si sera normal:
Searching for OBSD rk v1... /usr/lib/security
/usr/lib/security/classpath.security
¿Y esto que es, bueno o malo?
> > Checking `wted'... chkwtmp: nothing deleted
> > Checking `scalper'... not infected
> > Checking `slapper'... not infected
> > Checking `z2'... chklastlog: nothing deleted
>
Checking `lkm'... chkproc: nothing detected
Ya no me detecta ningun rootkit lkm. Lo que no me convence es el nothing
deleted
Lo gracioso es que al hacer un nmap me detecta que mi SO es openBSD!!!!!!
Por cierto, ni rastro de los puertos que anteriormente tenía abiertos
Starting Nmap 4.11 ( http://www.insecure.org/nmap/ ) at 2007-02-26 20:56 CET
Interesting ports on localhost (127.0.0.1):
Not shown: 65527 closed ports
PORT STATE SERVICE VERSION
25/tcp open smtp Exim smtpd 4.63
111/tcp open rpcbind (rpcbind V2) 2 (rpc #100000)
113/tcp open ident OpenBSD identd
631/tcp open ipp CUPS 1.2
2208/tcp open hpiod HP Linux Imaging and Printing System
7741/tcp open lisa LAN Information Server
57779/tcp open unknown
60935/tcp open status (status V1) 1 (rpc #100024)
No exact OS matches for host (If you know what OS is running on it, see http://www.insecure.org/cgi-bin/nmap-submit.cgi).
TCP/IP fingerprint:
SInfo(V=4.11%P=i686-pc-linux-gnu%D=2/26%Tm=45E33BE5%O=25%C=1)
TSeq(Class=RI%gcd=1%SI=3C6A03%IPID=Z)
TSeq(Class=RI%gcd=1%SI=3C6AC3%IPID=Z)
TSeq(Class=RI%gcd=1%SI=3C6E7A%IPID=Z)
T1(Resp=Y%DF=Y%W=8000%ACK=S++%Flags=AS%Ops=MNNTNW)
T2(Resp=N)
T3(Resp=Y%DF=Y%W=8000%ACK=S++%Flags=AS%Ops=MNNTNW)
T4(Resp=Y%DF=Y%W=0%ACK=O%Flags=R%Ops=)
T5(Resp=Y%DF=Y%W=0%ACK=S++%Flags=AR%Ops=)
T6(Resp=Y%DF=Y%W=0%ACK=O%Flags=R%Ops=)
T7(Resp=Y%DF=Y%W=0%ACK=S++%Flags=AR%Ops=)
PU(Resp=Y%DF=N%TOS=C0%IPLEN=164%RIPTL=148%RID=E%RIPCK=E%UCK=E%ULEN=134%DAT=E)
Service Info: Host: debian.WAG54GS; OS: OpenBSD
Nmap finished: 1 IP address (1 host up) scanned in 134.895 seconds
¿Como lo veis ahora?
--- Begin Message ---
Bueno, ya he borrado unos cuantos archivos sin ningún problema. Ahora
chkrootkit solo me detecta esto:
Checking `sniffer'... lo: not promisc and no packet sniffer sockets
eth1: PACKET SNIFFER(/sbin/dhclient3[3107])
Este creo que es porque la ip la cojo por dhcp
Estos los he estado mirando y no veo nada raro
Searching for suspicious files and dirs, it may take a while...
/usr/lib/jvm/.java-1.5.0-sun.jinfo
/usr/lib/eclipse/plugins/org.eclipse.platform.source_3.2.1.r321_v20060921-MGDh_08KUYM-Bvn/src/org.eclipse.ui.intro_3.2.1.R321_v20060810/.options
/usr/lib/eclipse/plugins/org.eclipse.platform.source_3.2.1.r321_v20060921-MGDh_08KUYM-Bvn/src/org.eclipse.ui.intro.universal_3.2.1.R321_v20060905/.options
/usr/lib/eclipse/plugins/org.eclipse.pde.build_3.2.1.r321_v20060823/.options
/usr/lib/eclipse/plugins/org.eclipse.help.webapp_3.2.1.R321_v20060803/.options
/usr/lib/eclipse/plugins/org.eclipse.ui.intro.universal_3.2.1.R321_v20060905/.options
/usr/lib/eclipse/.eclipseproduct
Este me moskea un poco, pero no se si sera normal:
Searching for OBSD rk v1... /usr/lib/security
/usr/lib/security/classpath.security
¿Y esto que es, bueno o malo?
> Checking `wted'... chkwtmp: nothing deleted
> Checking `scalper'... not infected
> Checking `slapper'... not infected
> Checking `z2'... chklastlog: nothing deleted
Checking `lkm'... chkproc: nothing detected
Ya no me detecta ningun rootkit lkm. Lo que no me convence es el nothing
deleted
¿Como lo veis ahora?
--- End Message ---
Reply to: