Re: Actividad extraña en el disco duro

To: Debian User Spanish <debian-user-spanish@lists.debian.org>
Subject: Re: Actividad extraña en el disco duro
From: Carlos Zuniga <carlos.zun@gmail.com>
Date: Sun, 19 Feb 2012 18:15:45 -0500
Message-id: <[🔎] CAABYcjP6P68Ldif58pn4B9c8+7XoaXWG+kc1mOBawGPHKuU89Q@mail.gmail.com>
In-reply-to: <[🔎] CACf5U16nRN5JzBoZFw_cCL0ChGnyo2uOunmvZCESdz9A-sHQHA@mail.gmail.com>
References: <[🔎] CA+HdPfLueQa-L8FCcQso0n60hF8MaxjrVe-utVmXQpP5apNMnw@mail.gmail.com> <[🔎] CACf5U157uk8f7e7Riw2g0caW+eYzQcMnc8FcVTrOuW7VPNn0kA@mail.gmail.com> <[🔎] CACf5U16nRN5JzBoZFw_cCL0ChGnyo2uOunmvZCESdz9A-sHQHA@mail.gmail.com>

2012/2/19 Gerardo A. Mirkin <gamirkin@gmail.com>
>
> Hola Todos:
> Después de correr chkrootkit me salió esta línea (las demás decían not
> found o not infected)
>
> Searching for suspicious files and dirs, it may take a while... The
> following suspicious files and directories were found:
> /usr/lib/R/site-library/Zelig/doc/.latex2html-init
> /usr/lib/R/site-library/qtl/docs/Sources/MQM/.Rprofile
> /usr/lib/R/site-library/MatchIt/doc/.latex2html-init
> /usr/lib/python2.7/dist-packages/PyQt4/uic/widget-plugins/.noinit
> /usr/lib/pymodules/python2.7/.path /usr/lib/pymodules/python2.6/.path
> /usr/lib/jvm/.java-6-sun.jinfo
> /usr/lib/jvm/java-6-sun1.6.30/jre1.6.0_30/.systemPrefs
> /usr/lib/jvm/java-6-sun1.6.30/jre1.6.0_30/.systemPrefs/.systemRootModFile
> /usr/lib/jvm/java-6-sun1.6.30/jre1.6.0_30/.systemPrefs/.system.lock
> /usr/lib/jvm/java-1.5.0-gcj-4.6/.java-gcj-4.6.jinfo
> /usr/lib/jvm/java-1.5.0-gcj-4.4/.java-gcj-4.4.jinfo
> /usr/lib/jvm/java-6-sun-1.6.0.26/.systemPrefs
> /usr/lib/libreoffice/basis3.4/program/.services.rdb
> /usr/lib/python2.6/dist-packages/PyQt4/uic/widget-plugins/.noinit
> /usr/lib/jvm/java-6-sun1.6.30/jre1.6.0_30/.systemPrefs
>
> ¿Qué se hace en este caqso para comprobar si realmente tienen rootkits u
> otro código malicioso? Y de encontrarlos ¿Cómo se eliminan sin borrar los
> directorios/archivos?

Hola,

Deberías chequear si tales archivos son parte de los paquetes, por
ejemplo en el caso de PyQT4 con `dpkg -L python-qt4 | grep noinit`
puedes ver que estan ahí. Luego puedes chequear los archivos y ver el
paquete para compararlos. Reinstalando los paquetes deberían de
sobreescribirse con el contenido default.

Saludos
--
Linux Registered User # 386081
A menudo unas pocas horas de "Prueba y error" podrán ahorrarte minutos de
leer manuales.

Reply to:

Follow-Ups:
- Re: Actividad extraña en el disco duro
  - From: "Gerardo A. Mirkin" <gamirkin@gmail.com>

References:
- Actividad extraña en el disco duro
  - From: Altair Linux <altairlinux@gmail.com>
- Re: Actividad extraña en el disco duro
  - From: "Gerardo A. Mirkin" <gamirkin@gmail.com>
- Re: Actividad extraña en el disco duro
  - From: "Gerardo A. Mirkin" <gamirkin@gmail.com>

Prev by Date: Re: Log de Apache (intento de intrusión)?
Next by Date: Re: rkhunter detecta algo ¿sospechoso o peligroso?
Previous by thread: Re: Actividad extraña en el disco duro
Next by thread: Re: Actividad extraña en el disco duro
Index(es):
- Date
- Thread