Hola Gerardo, José, * Disculpa por favor Gerardo si no te respondí antes pero estuve fuera. El 20/02/12 21:40, Jose Maldonado escribió:
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 El 20/02/12 17:49, Gerardo A. Mirkin escribió:Hola Juan, Gracias por la sugerencia. Si, rkhunter y chkootkit coinciden. El link que me mandás lo había leído. Pero como no entiendo mucho del tema... ¿De esto asumo que puedo considerarlo el bug?
No necesariamente, quizás haya que estar preparado.
Gracias. Saludos Gerardo El 20 de febrero de 2012 10:16, Juan Lavieri<jlavieri@gmail.com> escribió:Hola Gerardo. El 19/02/12 15:05, Gerardo A. Mirkin escribió: Hola,Corrí rkhunter y aparecen estas líneas que me llevan a sospechar un malware ¿Es así?Al parecer es un bug del rkhunter. Aquí tienes un enlace por donde empezar: http://lists.alioth.debian.**org/pipermail/forensics-devel/** 2011-July/002907.html<http://lists.alioth.debian.org/pipermail/forensics-devel/2011-July/002907.html>[16:18:40] Warning: The command '/usr/bin/unhide.rb' has been replaced by a script: /usr/bin/unhide.rb: Ruby script, ASCII text Además: 16:21:33] Warning: Hidden directory found: /etc/.java *(¿Cómo lo hago visible a rkhunter para que lo revise?)* [16:21:51] [16:21:51] Info: Test 'apps' disabled at users request. *(¿Cómo habilito la prueba de aplicaciones? Parece deshabilitada por defecto, porque yo no la inhabilité)* [16:21:51] [16:21:51] System checks summary [16:21:51] ===================== [16:21:51] [16:21:51] File properties checks... [16:21:51] Files checked: 137 [16:21:51] Suspect files: 1 [16:21:51] [16:21:51] Rootkit checks... [16:21:51] Rootkits checked : 242 [16:21:51] Possible rootkits: 1 [16:21:51] Rootkit names : Xzibit Rootkit [16:21:51] [16:21:51] Applications checks... [16:21:51] All checks skipped [16:21:51] [16:21:51] The system checks took: 4 minutes and 1 second [16:21:52] [16:21:52] Info: End date is dom feb 19 16:21:52 ART 2012 Gracias por sus respuestas. Saludos, Gerardo SaludosJuan Lavieri -- To UNSUBSCRIBE, email to debian-user-spanish-REQUEST@**lists.debian.org<debian-user-spanish-REQUEST@lists.debian.org> with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org Archive: [🔎] 4F4247BC.10903@gmail.com">http://lists.debian.org/**[🔎] 4F4247BC.10903@gmail.com<[🔎] 4F4247BC.10903@gmail.com">http://lists.debian.org/[🔎] 4F4247BC.10903@gmail.com>He hecho las pruebas para rkhunter y chkrootkit en mi Debian Wheezy 64 Bits, y pues me he llevado la misma sorpresa que tu. El chkrootkit, no me dice nada excepto porque dhclient es sospechoso de ser un SNIFFER. ¿¿?? En rkhunter, he tenido dos advertencia: 1.- El ejecutable unhide.rb, pues rkhunter me ha advertido de el, y al parecer tiene que ver con el bug ya comentado anteriormente, y en esDebian también tratan un poco de el y explican ciertas situaciones que le dejen respirar un poco más tranquilo, asegurando que es un bug. Así mismo también hablan del problema de rkhunter 1.3.6-3 y sus falsos positivos. Extrañamente si revisas todo el log, te das cuenta que rkhunter no encuentra nada sospechoso cuando se dedica a buscar los rootkits. [1][2][3] 2.- Me ha dado también la advertencia por archivos y directorios ocultos, que también se encuentra documentada por el bug ya descrito Checking for hidden files and directories [ Warning ] Hice las pruebas para ofrecerte una mejor ayuda, desde mi perspectiva el sistema esta seguro, ya que la situación está documentada, de todas formas no esta nada mal tomarse ciertas previsiones y estar atento a cualquier noticia de seguridad con respecto a esto, espero que la info te sea de ayuda. LINKS ***** 1.- http://www.esdebian.org/foro/46255/posible-rootkit-xzibit-rootkit 2.- http://www.mail-archive.com/debian-bugs-dist@lists.debian.org/msg726560.html 3.- http://forums.debian.net/viewtopic.php?f=10&t=48549
Como dice José es bueno tomar medidas; por ejemplo, un buen respaldo de tus datos y estar atentos como te indicó.
Además un sistema comprometido con un rootkit debe reinstalarse desde cero, pero esperemos que no haya necesidad.
Saludos Juan Lavieri