Re: rkhunter detecta algo ¿sospechoso o peligroso?

To: debian-user-spanish@lists.debian.org
Subject: Re: rkhunter detecta algo ¿sospechoso o peligroso?
From: Jose Maldonado <josemald89@gmail.com>
Date: Mon, 20 Feb 2012 21:40:57 -0430
Message-id: <[🔎] 4F42FD31.50900@gmail.com>
In-reply-to: <[🔎] CACf5U14iHHYDnRiYnzpki8Sg4ntrHq+hhn-9BTo=aWu=6WpLVQ@mail.gmail.com>
References: <[🔎] CACf5U15tYQa9UUnuVUEtBSRQ2LZfK9Wy9gf-gX4hFqbMKTx2Bg@mail.gmail.com> <[🔎] 4F4247BC.10903@gmail.com> <[🔎] CACf5U14iHHYDnRiYnzpki8Sg4ntrHq+hhn-9BTo=aWu=6WpLVQ@mail.gmail.com>

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

El 20/02/12 17:49, Gerardo A. Mirkin escribió:
> Hola Juan,
> Gracias por la sugerencia. Si, rkhunter y chkootkit coinciden. El link que
> me mandás lo había leído. Pero como no entiendo mucho del tema... ¿De esto
> asumo que puedo considerarlo el bug? Gracias.
> Saludos
> Gerardo
> 
> El 20 de febrero de 2012 10:16, Juan Lavieri <jlavieri@gmail.com> escribió:
> 
>> Hola Gerardo.
>>
>> El 19/02/12 15:05, Gerardo A. Mirkin escribió:
>>
>>  Hola,
>>> Corrí rkhunter y aparecen estas líneas que me llevan a sospechar un
>>> malware
>>> ¿Es así?
>>>
>>
>> Al parecer es un bug del rkhunter.  Aquí tienes un enlace por donde
>> empezar:
>>
>> http://lists.alioth.debian.**org/pipermail/forensics-devel/**
>> 2011-July/002907.html<http://lists.alioth.debian.org/pipermail/forensics-devel/2011-July/002907.html>
>>
>>
>>
>>> [16:18:40] Warning: The command '/usr/bin/unhide.rb' has been replaced by
>>> a
>>> script: /usr/bin/unhide.rb: Ruby script, ASCII text
>>>
>>> Además:
>>>
>>> 16:21:33] Warning: Hidden directory found: /etc/.java  *(¿Cómo lo hago
>>> visible a rkhunter para que lo revise?)*
>>> [16:21:51]
>>> [16:21:51] Info: Test 'apps' disabled at users request. *(¿Cómo habilito
>>> la
>>>
>>> prueba de aplicaciones? Parece deshabilitada por defecto, porque yo no la
>>> inhabilité)*
>>>
>>> [16:21:51]
>>> [16:21:51] System checks summary
>>> [16:21:51] =====================
>>> [16:21:51]
>>> [16:21:51] File properties checks...
>>> [16:21:51] Files checked: 137
>>> [16:21:51] Suspect files: 1
>>> [16:21:51]
>>> [16:21:51] Rootkit checks...
>>> [16:21:51] Rootkits checked : 242
>>> [16:21:51] Possible rootkits: 1
>>> [16:21:51] Rootkit names    : Xzibit Rootkit
>>> [16:21:51]
>>> [16:21:51] Applications checks...
>>> [16:21:51] All checks skipped
>>> [16:21:51]
>>> [16:21:51] The system checks took: 4 minutes and 1 second
>>> [16:21:52]
>>> [16:21:52] Info: End date is dom feb 19 16:21:52 ART 2012
>>>
>>>
>>> Gracias por sus respuestas. Saludos,
>>> Gerardo
>>>
>>>  Saludos
>>
>> Juan Lavieri
>>
>>
>>
>> --
>> To UNSUBSCRIBE, email to debian-user-spanish-REQUEST@**lists.debian.org<debian-user-spanish-REQUEST@lists.debian.org>
>> with a subject of "unsubscribe". Trouble? Contact
>> listmaster@lists.debian.org
>> Archive: [🔎] 4F4247BC.10903@gmail.com">http://lists.debian.org/**[🔎] 4F4247BC.10903@gmail.com<[🔎] 4F4247BC.10903@gmail.com">http://lists.debian.org/[🔎] 4F4247BC.10903@gmail.com>
>>
>>
> 

He hecho las pruebas para rkhunter y chkrootkit en mi Debian Wheezy 64
Bits, y pues me he llevado la misma sorpresa que tu.

El chkrootkit, no me dice nada excepto porque dhclient es sospechoso de
ser un SNIFFER. ¿¿??

En rkhunter, he tenido dos advertencia:

1.- El ejecutable unhide.rb, pues rkhunter me ha advertido de el, y al
parecer tiene que ver con el bug ya comentado anteriormente, y en
esDebian también tratan un poco de el y explican ciertas situaciones que
le dejen respirar un poco más tranquilo, asegurando que es un bug. Así
mismo también hablan del problema de rkhunter 1.3.6-3 y sus falsos
positivos. Extrañamente si revisas todo el log, te das cuenta que
rkhunter no encuentra nada sospechoso cuando se dedica a buscar los
rootkits. [1][2][3]

2.- Me ha dado también la advertencia por archivos y directorios
ocultos, que también se encuentra documentada por el bug ya descrito

 Checking for hidden files and directories                [ Warning ]


Hice las pruebas para ofrecerte una mejor ayuda, desde mi perspectiva el
sistema esta seguro, ya que la situación está documentada, de todas
formas no esta nada mal tomarse ciertas previsiones y estar atento a
cualquier noticia de seguridad con respecto a esto, espero que la info
te sea de ayuda.

LINKS
*****

1.- http://www.esdebian.org/foro/46255/posible-rootkit-xzibit-rootkit
2.-
http://www.mail-archive.com/debian-bugs-dist@lists.debian.org/msg726560.html
3.- http://forums.debian.net/viewtopic.php?f=10&t=48549






- -- 
"Dios está en su Cielo, todo bien aquí en la Tierra"
****************************************************
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.11 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/

iF4EAREIAAYFAk9C/TEACgkQiedU9l6YqvEu6AD+NDJcCyPRreaoBB3BsjybnhaK
fkUd8YvgZhIe+QPwCwcA/i1/rg8cPfQUzggLGOxoHjB5iyu5+abp0VUcc8eyikyK
=4y2q
-----END PGP SIGNATURE-----

Reply to:

Follow-Ups:
- Re: rkhunter detecta algo ¿sospechoso o peligroso?
  - From: Juan Lavieri <jlavieri@gmail.com>

References:
- rkhunter detecta algo ¿sospechoso o peligroso?
  - From: "Gerardo A. Mirkin" <gamirkin@gmail.com>
- Re: rkhunter detecta algo ¿sospechoso o peligroso?
  - From: Juan Lavieri <jlavieri@gmail.com>
- Re: rkhunter detecta algo ¿sospechoso o peligroso?
  - From: "Gerardo A. Mirkin" <gamirkin@gmail.com>

Prev by Date: unsuscribe
Next by Date: Re: Actividad extraña en el disco duro
Previous by thread: Re: rkhunter detecta algo ¿sospechoso o peligroso?
Next by thread: Re: rkhunter detecta algo ¿sospechoso o peligroso?
Index(es):
- Date
- Thread