JAP escribió:
Cristian Mitchell escribió:El 27/01/08, JAP <javier.debian.bb.ar@gmail.com> escribió:Todo eso está "sin novedad en el frente"; junto con netstat es lo primero que probé. Estoy SEGURO que no está zombie, pero estoy queriendo saber de alguien que haya tenido el problema, cómo se dio cuenta, qué hizo, qué utiliza ahora para evitarlo, etcétera.La pregunta es... ¿cómo detecto si me han hecho vudú, o sea, si se convirtió en zombie?con pstree y top
Mas allá de si los end-user linuxeros somos o no un target para las botnet (;)), si alguien entró en tu máquina como root entonces la única forma de asegurarte que el equipo no se encuentra comprometido es desde otro; si una persona planea usar tu equipo como zombie, y hace un buen trabajo, entonces hay que asumir que, por ejemplo, pstree es en realidad un versión parcheada para que no liste los procesos que el atacante no quiera que se listen. Lo mismo con las demás utilidades de sistema. Lo que haría en tu caso, si realmente tenés dudas, es un backup y un "cat /dev/urandom > /dev/sdN". Claro, con un backup de /home y otro de /etc me puede llevar 3 horas tener un Debian nuevo, en mi pc personal, pero si lo que buscas es investigar entonces podrías snifear las conexiones con otro equipo, o usar un live cd para revisar los logs (posiblemente sin encontrar nada) y correr un md5 sobre los binarios del sistema para compararlos con otros seguros. No soy un experto en seguridad pero son las dos opciones que se me ocurren.
Saludos!