On Thu, Nov 02, 2006 at 08:36:22AM +0100, Israel Gutierrez wrote: > El Miércoles, 1 de Noviembre de 2006 22:41, Christian Pinedo Zamalloa > escribió: > > > > > estoy un tanto preocupado ya que ante comportamientos un poco raros del > > > > servidor en cuestiones como quotas o conexión ssh y recelos me han > > > > hecho comprobar periodicamente el servidor con "chkrootkit". La > > > > cuestión es que en algunas comprobaciones obtengo el siguiente mensaje: > > > > > > > > You have 1 process hidden for readdir command > > > > You have 1 process hidden for ps command > > > > chkproc: Warning: Possible LKM Trojan installed > > Si buscas ese error en google verás la cantidad tan enorme de falsos > positivos > que le ha dado a la gente. Mucho mejor que chkrootkit es rkhunter, aunque es > bueno mantener ambos. Antes de tomar medidas drásticas, analiza el tráfico de > red de esa máquina, y/o utiliza comandos compilados estáticamente en un > soporte de sólo lectura, para comprobar memoria, recursos o conexiones de > red. >
Lo primero gracias a todos por vuestros consejos. La verdad que tambien estoy empezando a pensar que ha sido un falso positivo. De hecho, he utilizado rkhunter y no me ha detectado nada. Para asegurarme he creado un script que cada 5 minutos se ejecuta y en caso de que chkrootkit detecte algo tambien ejecuto rkhunter y guardo informacion sobre quien esta conectado en la maquina, procesos y conexiones de red. Con esto espero asegurarme si ha sido un falso positivo o no. Ahora lo que me estoy planteando es buscar una solución que más adelante no me provoque tantas dudas. Utilizo Logwatch para comprobar los logs diariamente, pero los logs pueden ser modificados por un atacante con permisos de root. Así, estoy pensando en un checkeador de integridad (Integrit, tripwire o aide). Creo que son bastante similares pero si alguien me puede comentar algo sobre ellos u otras herramientas que debería utilizar se lo agradecería. Un saludos y gracias por los comentarios que ya estaba bastante "acelerado", -- Christian Pinedo Zamalloa -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
