Re: Resultado de chkrootkit sospechoso

[Pedro Jose Martin Cano <ercrokan@gmail.com>]

Ante todo perdon porque me he dado cuenta de que el mensaje anterior lo
envié a un particular, en vez de a la lista. Lo siento, no volverá a
ocurrir.

En cuanto a lo de los rootkit, ya he borrado los archivos sin ningún problema. Ahora
chkrootkit solo me detecta esto:

Checking `sniffer'... lo: not promisc and no packet sniffer sockets
eth1: PACKET SNIFFER(/sbin/dhclient3[3107])

Este creo que es porque la ip la cojo por dhcp

Estos los he estado mirando y no veo nada raro

Searching for suspicious files and dirs, it may take a while...
/usr/lib/jvm/.java-1.5.0-sun.jinfo
/usr/lib/eclipse/plugins/org.eclipse.platform.source_3.2.1.r321_v20060921-MGDh_08KUYM-Bvn/src/org.eclipse.ui.intro_3.2.1.R321_v20060810/.options
/usr/lib/eclipse/plugins/org.eclipse.platform.source_3.2.1.r321_v20060921-MGDh_08KUYM-Bvn/src/org.eclipse.ui.intro.universal_3.2.1.R321_v20060905/.options
/usr/lib/eclipse/plugins/org.eclipse.pde.build_3.2.1.r321_v20060823/.options
/usr/lib/eclipse/plugins/org.eclipse.help.webapp_3.2.1.R321_v20060803/.options
/usr/lib/eclipse/plugins/org.eclipse.ui.intro.universal_3.2.1.R321_v20060905/.options
/usr/lib/eclipse/.eclipseproduct

Este me moskea un poco, pero no se si sera normal:

Searching for OBSD rk v1... /usr/lib/security
/usr/lib/security/classpath.security

¿Y esto que es, bueno o malo?


> > Checking `wted'... chkwtmp: nothing deleted
> > Checking `scalper'... not infected
> > Checking `slapper'... not infected
> > Checking `z2'... chklastlog: nothing deleted
>   
Checking `lkm'... chkproc: nothing detected

Ya no me detecta ningun rootkit lkm. Lo que no me convence es el nothing
deleted
Lo gracioso es que al hacer un nmap me detecta  que mi SO es openBSD!!!!!!

Por cierto, ni rastro de los puertos que anteriormente tenía abiertos 

Starting Nmap 4.11 ( http://www.insecure.org/nmap/ ) at 2007-02-26 20:56 CET
Interesting ports on localhost (127.0.0.1):
Not shown: 65527 closed ports
PORT      STATE SERVICE              VERSION
25/tcp    open  smtp                 Exim smtpd 4.63
111/tcp   open  rpcbind (rpcbind V2)  2 (rpc #100000)
113/tcp   open  ident                OpenBSD identd
631/tcp   open  ipp                  CUPS 1.2
2208/tcp  open  hpiod                HP Linux Imaging and Printing System
7741/tcp  open  lisa                 LAN Information Server
57779/tcp open  unknown
60935/tcp open  status (status V1)    1 (rpc #100024)
No exact OS matches for host (If you know what OS is running on it, see http://www.insecure.org/cgi-bin/nmap-submit.cgi).
TCP/IP fingerprint:
SInfo(V=4.11%P=i686-pc-linux-gnu%D=2/26%Tm=45E33BE5%O=25%C=1)
TSeq(Class=RI%gcd=1%SI=3C6A03%IPID=Z)
TSeq(Class=RI%gcd=1%SI=3C6AC3%IPID=Z)
TSeq(Class=RI%gcd=1%SI=3C6E7A%IPID=Z)
T1(Resp=Y%DF=Y%W=8000%ACK=S++%Flags=AS%Ops=MNNTNW)
T2(Resp=N)
T3(Resp=Y%DF=Y%W=8000%ACK=S++%Flags=AS%Ops=MNNTNW)
T4(Resp=Y%DF=Y%W=0%ACK=O%Flags=R%Ops=)
T5(Resp=Y%DF=Y%W=0%ACK=S++%Flags=AR%Ops=)
T6(Resp=Y%DF=Y%W=0%ACK=O%Flags=R%Ops=)
T7(Resp=Y%DF=Y%W=0%ACK=S++%Flags=AR%Ops=)
PU(Resp=Y%DF=N%TOS=C0%IPLEN=164%RIPTL=148%RID=E%RIPCK=E%UCK=E%ULEN=134%DAT=E)


Service Info: Host: debian.WAG54GS; OS: OpenBSD

Nmap finished: 1 IP address (1 host up) scanned in 134.895 seconds



¿Como lo veis ahora?

--- Begin Message ---

• To: "Ricardo Eureka!" <ricardoeureka@gmail.com>
• Subject: Re: Resultado de chkrootkit sospechoso
• From: Pedro Jose Martin Cano <ercrokan@gmail.com>
• Date: Mon, 26 Feb 2007 20:45:56 +0100
• Message-id: <45E338F4.4070801@gmail.com>
• In-reply-to: <[🔎] 4c540db20702251905k2d833ad2l3ab90518a4cf57bf@mail.gmail.com>
• References: <[🔎] 45E0871A.9000601@gmail.com> <[🔎] 45E0C50C.7090004@mordred.cmat.edu.uy> <[🔎] 4c540db20702251629r4903de1bib7c69ab1ff0d326f@mail.gmail.com> <[🔎] 45E24CA2.1060800@mordred.cmat.edu.uy> <[🔎] 4c540db20702251905k2d833ad2l3ab90518a4cf57bf@mail.gmail.com>

Bueno, ya he borrado unos cuantos archivos sin ningún problema. Ahora
chkrootkit solo me detecta esto:

Checking `sniffer'... lo: not promisc and no packet sniffer sockets
eth1: PACKET SNIFFER(/sbin/dhclient3[3107])

Este creo que es porque la ip la cojo por dhcp

Estos los he estado mirando y no veo nada raro

Searching for suspicious files and dirs, it may take a while...
/usr/lib/jvm/.java-1.5.0-sun.jinfo
/usr/lib/eclipse/plugins/org.eclipse.platform.source_3.2.1.r321_v20060921-MGDh_08KUYM-Bvn/src/org.eclipse.ui.intro_3.2.1.R321_v20060810/.options
/usr/lib/eclipse/plugins/org.eclipse.platform.source_3.2.1.r321_v20060921-MGDh_08KUYM-Bvn/src/org.eclipse.ui.intro.universal_3.2.1.R321_v20060905/.options
/usr/lib/eclipse/plugins/org.eclipse.pde.build_3.2.1.r321_v20060823/.options
/usr/lib/eclipse/plugins/org.eclipse.help.webapp_3.2.1.R321_v20060803/.options
/usr/lib/eclipse/plugins/org.eclipse.ui.intro.universal_3.2.1.R321_v20060905/.options
/usr/lib/eclipse/.eclipseproduct

Este me moskea un poco, pero no se si sera normal:

Searching for OBSD rk v1... /usr/lib/security
/usr/lib/security/classpath.security

¿Y esto que es, bueno o malo?

> Checking `wted'... chkwtmp: nothing deleted
> Checking `scalper'... not infected
> Checking `slapper'... not infected
> Checking `z2'... chklastlog: nothing deleted
Checking `lkm'... chkproc: nothing detected

Ya no me detecta ningun rootkit lkm. Lo que no me convence es el nothing
deleted

¿Como lo veis ahora?

--- End Message ---