Tal que el Wed, 1 Nov 2006 21:24:41 +0100 Christian Pinedo Zamalloa <[EMAIL PROTECTED]> tuvo a bien escribir:
> hola, > > estoy un tanto preocupado ya que ante comportamientos un poco raros del > servidor en cuestiones como quotas o conexión ssh y recelos me han hecho > comprobar periodicamente el servidor con "chkrootkit". La cuestión es > que en algunas comprobaciones obtengo el siguiente mensaje: > > You have 1 process hidden for readdir command > You have 1 process hidden for ps command > chkproc: Warning: Possible LKM Trojan installed > > La verdad que no se cuanta fiabilidad en este aviso de chkrootkit que ya > comenta que es un Possible caso de LKM Trojan. > > Llevo años administrando máquinas con Debian GNU/Linux y otros Unixes y > nunca me he encontrado con este problema. Me gustaría que me > aconsejaseis que puedo hacer/comprobar si tengo un cracker entre mis > usuarios o no: debsums, find, ?????? > > Agradecería algun consejo (o referencias) que vaya más allá de una > reinstalación de Debian. Gracias, Tuve un problema parecido hace tiempo, y me temo que fue una falsa alarma. Aunque ante la inseguridad, preferí reinstalar el sistema. En mi caso, no es un servidor, sino un PC doméstico. Mi alarma inicial surgió a raíz del chkrootkit, también. Por lo que pude averiguar, se recomendaba instalar la última versión de su página web, porque la que instalaba debian por aquél entonces no era la última. Por otra parte, te recomendaría comprobar el sistema con otros "cazadores de rootkits" Google te ayudará a buscarlos, porque ahora no recuerdo. Aparte, tengo en el sistema el antivirus clamav, que también puede ayudar a identificar posibles virus y supongo que también rootkits. Mantén la mente fría. En mi caso fue lo más difícil... Suerte -- _____________________________________________________________ Roberto Rodríguez Rego JABBER [EMAIL PROTECTED] USUARIO GNU/Linux #141919 Clave Pública GNUPG: 0xCB67FFE6 en http://www.keyserver.net _____________________________________________________________
