Re: OT: Máquinas zombies
El 27/01/08, Martín Peluso <martin.nicolas.peluso@gmail.com> escribió:
> Nico wrote:
> > JAP escribió:
> >> Cristian Mitchell escribió:
> >>> El 27/01/08, JAP <javier.debian.bb.ar@gmail.com> escribió:
> >>>> La pregunta es... ¿cómo detecto si me han hecho vudú, o sea, si se
> >>>> convirtió en zombie?
> >>> con pstree y top
> >>>
> >> Todo eso está "sin novedad en el frente"; junto con netstat es lo
> >> primero que probé.
> >> Estoy SEGURO que no está zombie, pero estoy queriendo saber de
> >> alguien que haya tenido el problema, cómo se dio cuenta, qué hizo,
> >> qué utiliza ahora para evitarlo, etcétera.
> >
> > Mas allá de si los end-user linuxeros somos o no un target para las
> > botnet (;)), si alguien entró en tu máquina como root entonces la
> > única forma de asegurarte que el equipo no se encuentra comprometido
> > es desde otro; si una persona planea usar tu equipo como zombie, y
> > hace un buen trabajo, entonces hay que asumir que, por ejemplo, pstree
> > es en realidad un versión parcheada para que no liste los procesos que
> > el atacante no quiera que se listen. Lo mismo con las demás utilidades
> > de sistema.
> > Lo que haría en tu caso, si realmente tenés dudas, es un backup y un
> > "cat /dev/urandom > /dev/sdN". Claro, con un backup de /home y otro de
> > /etc me puede llevar 3 horas tener un Debian nuevo, en mi pc personal,
> > pero si lo que buscas es investigar entonces podrías snifear las
> > conexiones con otro equipo, o usar un live cd para revisar los logs
> > (posiblemente sin encontrar nada) y correr un md5 sobre los binarios
> > del sistema para compararlos con otros seguros. No soy un experto en
> > seguridad pero son las dos opciones que se me ocurren.
> >
> >
> > Saludos!
> >
>
>
> Buenos días, el aporte que puedo hacer al hilo por mi experiencia en
> este tema de la paranoia es el siguiente:
>
> Dando por hecha la suposición del amigo Nico sobre si alguien entró en
> tu máquina como root y parcheó herramientas como netstat, pstree o
> cualquier otra herramienta de administración, lo bueno sería que
> (habiendo sido precavidos) hubiésemos hecho chequeos md5 de las
> herramientas y directorios mas importantes de nuestro sistema (justo
> después de la instalación para mayor seguridad), guardando los
> resultados para cotejarlos luego en un supuesto caso como este contra
> los resultados del nuevo chequeo md5 que haríamos a las herramientas
> aparentemente modificadas.
>
> Obviamente el archivo de texto resultante lo deberíamos guardar en un
> medio ajeno a la propia máquina por cuestiones de seguridad.
>
> Si los resultados de la comparación con el md5 actual de las
> herramientas no coincidiesen, existen detectores de rootkits que podemos
> utilizar para detectar esa clase de anomalías. La siguiente dirección
> corresponde a check rootkit, el detector de rootkits mas popular, capaz
> también de realizar chequeos sobre varios aspectos de la seguridad del
> sistema, incluyendo la modificación de binarios del sistema:
>
> http://www.chkrootkit.org
>
> Creo que eso es todo lo que pudiera aconsejar.
>
> Saludos.
> Martín
>
>
>
>
>
En mi caso que me paso.
el problema fue una libreria que instale para opera.
se ponia a prosesar como loca.
si la maquina se te pone a prosesar a full en general tenes que olvidar la red.
a menos que denotes una actividad inusual.
en mi experiencia la paranoia para lo unico que sirve es para no
encontrar el problema, es muy mala consegera,
es tan comun el error humano, y mas en linux.
los dos comandos que te puse en el mail anterior son para ver los
prosesos de la maquina, y cuanta memoria se utiliza para los mismos.
si no son demasiado el problema puede ser se swap o memoria
--
MrIX
Linux user number 412793.
http://counter.li.org/
las grandes obras,
las sueñan los santos locos,
las realizan los luchadores natos,
las aprovechan los felices cuerdo,
y las critican los inútiles crónicos,
yo no fui, seguro que es mas inteligente.
Reply to: