Re: Actividad extraña en el disco duro

To: debian-user-spanish@lists.debian.org
Subject: Re: Actividad extraña en el disco duro
From: Jose Maldonado <josemald89@gmail.com>
Date: Mon, 20 Feb 2012 21:51:00 -0430
Message-id: <[🔎] 4F42FF8C.1030304@gmail.com>
In-reply-to: <[🔎] CACf5U15yiOsqR2LJMvsi66M78jmWmUDpbRr1SHV9O382N4oUTw@mail.gmail.com>
References: <[🔎] CA+HdPfLueQa-L8FCcQso0n60hF8MaxjrVe-utVmXQpP5apNMnw@mail.gmail.com> <[🔎] CACf5U157uk8f7e7Riw2g0caW+eYzQcMnc8FcVTrOuW7VPNn0kA@mail.gmail.com> <[🔎] CACf5U16nRN5JzBoZFw_cCL0ChGnyo2uOunmvZCESdz9A-sHQHA@mail.gmail.com> <[🔎] CAABYcjP6P68Ldif58pn4B9c8+7XoaXWG+kc1mOBawGPHKuU89Q@mail.gmail.com> <[🔎] CACf5U15yiOsqR2LJMvsi66M78jmWmUDpbRr1SHV9O382N4oUTw@mail.gmail.com>

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

El 20/02/12 17:55, Gerardo A. Mirkin escribió:
> Hola Carlos,
> Gracias por la sugerencia. Los archivos coinciden y se encuentran en los
> paquetes. Lo tomo como falsa alarma.
> Gracias nuevamente.
> Saludos,
> Gerardo
> 
> El 19 de febrero de 2012 20:15, Carlos Zuniga <carlos.zun@gmail.com>escribió:
> 
>> 2012/2/19 Gerardo A. Mirkin <gamirkin@gmail.com>
>>>
>>> Hola Todos:
>>> Después de correr chkrootkit me salió esta línea (las demás decían not
>>> found o not infected)
>>>
>>> Searching for suspicious files and dirs, it may take a while... The
>>> following suspicious files and directories were found:
>>> /usr/lib/R/site-library/Zelig/doc/.latex2html-init
>>> /usr/lib/R/site-library/qtl/docs/Sources/MQM/.Rprofile
>>> /usr/lib/R/site-library/MatchIt/doc/.latex2html-init
>>> /usr/lib/python2.7/dist-packages/PyQt4/uic/widget-plugins/.noinit
>>> /usr/lib/pymodules/python2.7/.path /usr/lib/pymodules/python2.6/.path
>>> /usr/lib/jvm/.java-6-sun.jinfo
>>> /usr/lib/jvm/java-6-sun1.6.30/jre1.6.0_30/.systemPrefs
>>> /usr/lib/jvm/java-6-sun1.6.30/jre1.6.0_30/.systemPrefs/.systemRootModFile
>>> /usr/lib/jvm/java-6-sun1.6.30/jre1.6.0_30/.systemPrefs/.system.lock
>>> /usr/lib/jvm/java-1.5.0-gcj-4.6/.java-gcj-4.6.jinfo
>>> /usr/lib/jvm/java-1.5.0-gcj-4.4/.java-gcj-4.4.jinfo
>>> /usr/lib/jvm/java-6-sun-1.6.0.26/.systemPrefs
>>> /usr/lib/libreoffice/basis3.4/program/.services.rdb
>>> /usr/lib/python2.6/dist-packages/PyQt4/uic/widget-plugins/.noinit
>>> /usr/lib/jvm/java-6-sun1.6.30/jre1.6.0_30/.systemPrefs
>>>
>>> ¿Qué se hace en este caqso para comprobar si realmente tienen rootkits u
>>> otro código malicioso? Y de encontrarlos ¿Cómo se eliminan sin borrar los
>>> directorios/archivos?
>>
>> Hola,
>>
>> Deberías chequear si tales archivos son parte de los paquetes, por
>> ejemplo en el caso de PyQT4 con `dpkg -L python-qt4 | grep noinit`
>> puedes ver que estan ahí. Luego puedes chequear los archivos y ver el
>> paquete para compararlos. Reinstalando los paquetes deberían de
>> sobreescribirse con el contenido default.
>>
>> Saludos
>> --
>> Linux Registered User # 386081
>> A menudo unas pocas horas de "Prueba y error" podrán ahorrarte minutos de
>> leer manuales.
>>
>>
>> --
>> To UNSUBSCRIBE, email to debian-user-spanish-REQUEST@lists.debian.org
>> with a subject of "unsubscribe". Trouble? Contact
>> listmaster@lists.debian.org
>> Archive:
>> [🔎] CAABYcjP6P68Ldif58pn4B9c8+7XoaXWG+kc1mOBawGPHKuU89Q@mail.gmail.com">http://lists.debian.org/[🔎] CAABYcjP6P68Ldif58pn4B9c8+7XoaXWG+kc1mOBawGPHKuU89Q@mail.gmail.com
>>
>>
> 

Esas advertencia en chkrootkit son normales, de todas formas puedes
comprobar usando rkhunter, pero te advierto que hay un molesto bug que
detecta rootkits donde no los hay. Aún así te serviría para verificar
que no tienes ningún otro rootkit por ahí, solo por si acaso.

http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=576680
http://www.mail-archive.com/debian-bugs-dist@lists.debian.org/msg726560.html
http://www.linuxmint-hispano.com/foro/?/topic,867.5/wap2.html

- -- 
"Dios está en su Cielo, todo bien aquí en la Tierra"
****************************************************
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.11 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/

iF4EAREIAAYFAk9C/4wACgkQiedU9l6YqvG5GQD/VO0N17AUgEPkls3vvgoLLsz3
txRs2UBznB3KNhC8HtsA+gPPiGOkkfEAIWhpOqc8Vlc92rFS2f0n8eI1EjMah0mj
=251+
-----END PGP SIGNATURE-----

Reply to:

References:
- Actividad extraña en el disco duro
  - From: Altair Linux <altairlinux@gmail.com>
- Re: Actividad extraña en el disco duro
  - From: "Gerardo A. Mirkin" <gamirkin@gmail.com>
- Re: Actividad extraña en el disco duro
  - From: "Gerardo A. Mirkin" <gamirkin@gmail.com>
- Re: Actividad extraña en el disco duro
  - From: Carlos Zuniga <carlos.zun@gmail.com>
- Re: Actividad extraña en el disco duro
  - From: "Gerardo A. Mirkin" <gamirkin@gmail.com>

Prev by Date: Re: rkhunter detecta algo ¿sospechoso o peligroso?
Next by Date: unsuscribe
Previous by thread: Re: Actividad extraña en el disco duro
Next by thread: Problemas para iniciar virtuabox
Index(es):
- Date
- Thread