Tal que el Wed, 1 Nov 2006 22:41:23 +0100 Christian Pinedo Zamalloa <[EMAIL PROTECTED]> tuvo a bien escribir:
> La versión que tengo instalada es la de los Backports de debian, con lo > que entiendo que es batante reciente. Sin embargo, voy a mirar algunos > otros detectores de rootkit. La versión que se ofrece para instalar en Sid es la 0.46a-4, mientras que la que está disponible para descarga en la web (http://www.chkrootkit.org/) es la 0.47 > El problema es que la detección que me da chkrootkit no me da siempre > sino que en algunas ocasiones. Esa aleatoriedad es lo que me da mas miedo. La información que da no es más que orientativa en muchos casos. Avisa de "possible infection" con lo que te deja la puerta abierta a más comprobaciones. Además, en la descripción del paquete dice: "Please note that this is not a definitive test, it does not ensure that the target has not been cracked. In addition to running chkrootkit, one should perform more specific tests" Aunque lo menciona en el sentido de que "no ha sido crackeado" yo también lo resaltaría en el contrario, hasta que no se hagan más comprobaciones. Acabo de instalarlo en el sistema, y me dice: "Checking `bindshell'... INFECTED (PORTS: 3049 4000)" Es decir, afirma _categóricamente_ que estoy infectado. Esto fue parte de lo que me mosqueó en la vez anterior, aunque había más. En este caso, los puertos que muestra no están abiertos al exterior. El 3049 es el puerto que utiliza un paquete de encriptación de ficheros, cfs, y el 4000 es utilizado por mldonkey para conexión local por telnet, para controlarlo. Con esto no quiero decir que en tu caso no haya nada, sino que es IMPRESCINDIBLE hacer más comprobaciones. No obstante, si se trata de un servidor al que se le tiene "mucho cariño" sería recomendable protegerlo con herramientas preventivas, tipo tripwire o similares, para evitar llevarse sustos a posteriori. Un saludo -- _____________________________________________________________ Roberto Rodríguez Rego JABBER [EMAIL PROTECTED] USUARIO GNU/Linux #141919 Clave Pública GNUPG: 0xCB67FFE6 en http://www.keyserver.net _____________________________________________________________
