Nico wrote:
JAP escribió:Cristian Mitchell escribió:El 27/01/08, JAP <javier.debian.bb.ar@gmail.com> escribió:Todo eso está "sin novedad en el frente"; junto con netstat es lo primero que probé. Estoy SEGURO que no está zombie, pero estoy queriendo saber de alguien que haya tenido el problema, cómo se dio cuenta, qué hizo, qué utiliza ahora para evitarlo, etcétera.La pregunta es... ¿cómo detecto si me han hecho vudú, o sea, si se convirtió en zombie?con pstree y topMas allá de si los end-user linuxeros somos o no un target para las botnet (;)), si alguien entró en tu máquina como root entonces la única forma de asegurarte que el equipo no se encuentra comprometido es desde otro; si una persona planea usar tu equipo como zombie, y hace un buen trabajo, entonces hay que asumir que, por ejemplo, pstree es en realidad un versión parcheada para que no liste los procesos que el atacante no quiera que se listen. Lo mismo con las demás utilidades de sistema. Lo que haría en tu caso, si realmente tenés dudas, es un backup y un "cat /dev/urandom > /dev/sdN". Claro, con un backup de /home y otro de /etc me puede llevar 3 horas tener un Debian nuevo, en mi pc personal, pero si lo que buscas es investigar entonces podrías snifear las conexiones con otro equipo, o usar un live cd para revisar los logs (posiblemente sin encontrar nada) y correr un md5 sobre los binarios del sistema para compararlos con otros seguros. No soy un experto en seguridad pero son las dos opciones que se me ocurren.Saludos!
Buenos días, el aporte que puedo hacer al hilo por mi experiencia en este tema de la paranoia es el siguiente:
Dando por hecha la suposición del amigo Nico sobre si alguien entró en tu máquina como root y parcheó herramientas como netstat, pstree o cualquier otra herramienta de administración, lo bueno sería que (habiendo sido precavidos) hubiésemos hecho chequeos md5 de las herramientas y directorios mas importantes de nuestro sistema (justo después de la instalación para mayor seguridad), guardando los resultados para cotejarlos luego en un supuesto caso como este contra los resultados del nuevo chequeo md5 que haríamos a las herramientas aparentemente modificadas.
Obviamente el archivo de texto resultante lo deberíamos guardar en un medio ajeno a la propia máquina por cuestiones de seguridad.
Si los resultados de la comparación con el md5 actual de las herramientas no coincidiesen, existen detectores de rootkits que podemos utilizar para detectar esa clase de anomalías. La siguiente dirección corresponde a check rootkit, el detector de rootkits mas popular, capaz también de realizar chequeos sobre varios aspectos de la seguridad del sistema, incluyendo la modificación de binarios del sistema:
http://www.chkrootkit.org Creo que eso es todo lo que pudiera aconsejar. Saludos. Martín