Re: tengo un rootkit instalado?

To: "Debian User Spanish" <debian-user-spanish@lists.debian.org>
Subject: Re: tengo un rootkit instalado?
From: "Juan Ramon Martin Blanco" <robejrm@gmail.com>
Date: Sun, 4 Feb 2007 12:54:29 +0100
Message-id: <[🔎] 8a5668960702040354s7cd85bebp387dd35d59a1bd2@mail.gmail.com>
In-reply-to: <[🔎] 1170589538.9699.4.camel@localhost>
References: <[🔎] 1170453697.9287.0.camel@localhost> <[🔎] 45C3DC12.4030307@estudiante.uam.es> <[🔎] 1170589538.9699.4.camel@localhost>

On 2/4/07, Pedro Jose Martin Cano <ercrokan@gmail.com> wrote:

Curioso, pase el escaner otra vez, y me detecto otro puerto, en este
caso el 3557. Hice el tcpdump un rato, navegando por internet y eso,
pero no filtró ningún paquete por ese puerto. Por otra parte, he pasado
de dhcp a ip fija, y el resultado ahora es:

ra0: not promisc and no packet sniffer sockets

Puede ser un bug de dhclient3? ¿Tendré efectivamente algún rootkit
instalado?

No! el cliente dhcp escucha la interfaz de red en modo promiscuo, es
parte del protocolo dhcp.

Por otra parte me aparecen en el analisis cosas como estas:

Checking `wted'... chkwtmp: nothing deleted

Esta, pero supongo que no debo preocuparme:

Searching for anomalies in shell history files... Warning:
`//home/crokan/workspace/.metadata/.plugins/org.eclipse.core.resources/.history' is linked to another file

y esto, que es lo que me tiene un poco mosca:

Searching for suspicious files and dirs, it may take a while...
/usr/lib/firefox/.autoreg
/usr/lib/jvm/.java-gcj.jinfo
/usr/lib/eclipse/plugins/org.eclipse.help.webapp_3.2.1.R321_v20060803/.options
/usr/lib/eclipse/plugins/org.eclipse.ui.intro.universal_3.2.1.R321_v20060905/.options
/usr/lib/eclipse/plugins/org.eclipse.pde.build_3.2.1.r321_v20060823/.options
/usr/lib/eclipse/plugins/org.eclipse.platform.source_3.2.1.r321_v20060921-MGDh_08KUYM-Bvn/src/org.eclipse.ui.intro_3.2.1.R321_v20060810/.options
/usr/lib/eclipse/plugins/org.eclipse.platform.source_3.2.1.r321_v20060921-MGDh_08KUYM-Bvn/src/org.eclipse.ui.intro.universal_3.2.1.R321_v20060905/.options
/usr/lib/eclipse/.eclipseproduct
/lib/modules/2.6.17-10-386/volatile/.mounted

No te preocupes de esto, yo creo que chkrootkit es pelin paranoico, lo
cual está bien, pero esos ficheros no me parecen sospechosos,
simplemente son ocultos (.nombre) y por eso te avisa.

Te recomiendo que uses también rkhunter, así tendrás dos opiniones diferentes ;)

Saludetes,
Juanra





El sáb, 03-02-2007 a las 01:49 +0100, Javier Ruano escribió:
> Pedro Jose Martin Cano wrote:
> > Hola, pasando el chkrootkit he visto esto:
> >
> > Checking `sniffer'... lo: not promisc and no packet sniffer sockets
> > ra0: PACKET SNIFFER(/sbin/dhclient3[3566])
> qué susto ! :)
> >
> > ¿tengo un rootkit instalado?
> man dhclient3
> Vamos obtienes la ip dinámicamente.
>
> Podrías ver quién utiliza cada puerto haciendo:
> --------------------------
> lsof -si
> netstat -puta
> --------------------------
> o lanzar tcpdump para ver que viene por ese puerto.
> tcpdump -nvv port 3566
>
> Saludos.
> Javi.
>
>


--
To UNSUBSCRIBE, email to debian-user-spanish-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

Reply to:

Follow-Ups:
- Re: tengo un rootkit instalado?
  - From: Pedro Jose Martin Cano <ercrokan@gmail.com>

References:
- tengo un rootkit instalado?
  - From: Pedro Jose Martin Cano <ercrokan@gmail.com>
- Re: tengo un rootkit instalado?
  - From: Javier Ruano <javier.ruano@estudiante.uam.es>
- Re: tengo un rootkit instalado?
  - From: Pedro Jose Martin Cano <ercrokan@gmail.com>

Prev by Date: Re: tengo un rootkit instalado?
Next by Date: Re: tengo un rootkit instalado?
Previous by thread: Re: tengo un rootkit instalado?
Next by thread: Re: tengo un rootkit instalado?
Index(es):
- Date
- Thread