[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: rkhunter detecta algo ¿sospechoso o peligroso?



Hola Gerardo, José, *

Disculpa por favor Gerardo si no te respondí antes pero estuve fuera.

El 20/02/12 21:40, Jose Maldonado escribió:
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

El 20/02/12 17:49, Gerardo A. Mirkin escribió:
Hola Juan,
Gracias por la sugerencia. Si, rkhunter y chkootkit coinciden. El link que
me mandás lo había leído. Pero como no entiendo mucho del tema... ¿De esto
asumo que puedo considerarlo el bug?

No necesariamente, quizás haya que estar preparado.

Gracias.
Saludos
Gerardo

El 20 de febrero de 2012 10:16, Juan Lavieri<jlavieri@gmail.com>  escribió:

Hola Gerardo.

El 19/02/12 15:05, Gerardo A. Mirkin escribió:

  Hola,
Corrí rkhunter y aparecen estas líneas que me llevan a sospechar un
malware
¿Es así?


Al parecer es un bug del rkhunter.  Aquí tienes un enlace por donde
empezar:

http://lists.alioth.debian.**org/pipermail/forensics-devel/**
2011-July/002907.html<http://lists.alioth.debian.org/pipermail/forensics-devel/2011-July/002907.html>



[16:18:40] Warning: The command '/usr/bin/unhide.rb' has been replaced by
a
script: /usr/bin/unhide.rb: Ruby script, ASCII text

Además:

16:21:33] Warning: Hidden directory found: /etc/.java  *(¿Cómo lo hago
visible a rkhunter para que lo revise?)*
[16:21:51]
[16:21:51] Info: Test 'apps' disabled at users request. *(¿Cómo habilito
la

prueba de aplicaciones? Parece deshabilitada por defecto, porque yo no la
inhabilité)*

[16:21:51]
[16:21:51] System checks summary
[16:21:51] =====================
[16:21:51]
[16:21:51] File properties checks...
[16:21:51] Files checked: 137
[16:21:51] Suspect files: 1
[16:21:51]
[16:21:51] Rootkit checks...
[16:21:51] Rootkits checked : 242
[16:21:51] Possible rootkits: 1
[16:21:51] Rootkit names    : Xzibit Rootkit
[16:21:51]
[16:21:51] Applications checks...
[16:21:51] All checks skipped
[16:21:51]
[16:21:51] The system checks took: 4 minutes and 1 second
[16:21:52]
[16:21:52] Info: End date is dom feb 19 16:21:52 ART 2012


Gracias por sus respuestas. Saludos,
Gerardo

  Saludos

Juan Lavieri



--
To UNSUBSCRIBE, email to debian-user-spanish-REQUEST@**lists.debian.org<debian-user-spanish-REQUEST@lists.debian.org>
with a subject of "unsubscribe". Trouble? Contact
listmaster@lists.debian.org
Archive: http://lists.debian.org/**4F4247BC.10903@gmail.com<4F4247BC.10903@gmail.com">http://lists.debian.org/4F4247BC.10903@gmail.com>




He hecho las pruebas para rkhunter y chkrootkit en mi Debian Wheezy 64
Bits, y pues me he llevado la misma sorpresa que tu.

El chkrootkit, no me dice nada excepto porque dhclient es sospechoso de
ser un SNIFFER. ¿¿??

En rkhunter, he tenido dos advertencia:

1.- El ejecutable unhide.rb, pues rkhunter me ha advertido de el, y al
parecer tiene que ver con el bug ya comentado anteriormente, y en
esDebian también tratan un poco de el y explican ciertas situaciones que
le dejen respirar un poco más tranquilo, asegurando que es un bug. Así
mismo también hablan del problema de rkhunter 1.3.6-3 y sus falsos
positivos. Extrañamente si revisas todo el log, te das cuenta que
rkhunter no encuentra nada sospechoso cuando se dedica a buscar los
rootkits. [1][2][3]

2.- Me ha dado también la advertencia por archivos y directorios
ocultos, que también se encuentra documentada por el bug ya descrito

  Checking for hidden files and directories                [ Warning ]


Hice las pruebas para ofrecerte una mejor ayuda, desde mi perspectiva el
sistema esta seguro, ya que la situación está documentada, de todas
formas no esta nada mal tomarse ciertas previsiones y estar atento a
cualquier noticia de seguridad con respecto a esto, espero que la info
te sea de ayuda.

LINKS
*****

1.- http://www.esdebian.org/foro/46255/posible-rootkit-xzibit-rootkit
2.-
http://www.mail-archive.com/debian-bugs-dist@lists.debian.org/msg726560.html
3.- http://forums.debian.net/viewtopic.php?f=10&t=48549



Como dice José es bueno tomar medidas; por ejemplo, un buen respaldo de tus datos y estar atentos como te indicó.

Además un sistema comprometido con un rootkit debe reinstalarse desde cero, pero esperemos que no haya necesidad.

Saludos

Juan Lavieri


Reply to: