Francisco Calero escribió:
        Hola a todos, hace ya un tiempo me pasó que la contraseña de root
cambió sin que nadie (aparentemente) lo hiciese, de maneara que no le di
importancia porque estaba con otros haceres, de manera que restauré la
clave de root y a funcionar. Hace un par de semanas me pasó lo mismo,
con lo que mi sospechas fueron a mayor grado. Empecé a investigar un
poco y cuando vi el .bash_history del usuario root tenía sólo 3 líneas.
----------------
su
password
rm .bash_history
----------------

        Verdaderamente se puede decir que son tres comandos muy comprometidos
si tienes la clave de root (información que no se como la han
conseguido). El caso es que despues de ver esto me puse manos a la obra
para averiguar un poco sobre lo que estaba pasando.
        Encontré algo acerca de los rootkit para linux, concretamente el
chkrootkit-0.48 que me dió la siguiente salida:

r...@calculon:/home/hipoter/chkrootkit-0.48# cat salida ROOTDIR is `/'
Checking `amd'... not found
Checking `basename'... not infected
Checking `biff'... not found
Checking `chfn'... not infected
Checking `chsh'... not infected
Checking `cron'... not infected
Checking `crontab'... not infected
Checking `date'... not infected
Checking `du'... not infected
Checking `dirname'... not infected
Checking `echo'... not infected
Checking `egrep'... not infected
Checking `env'... not infected
Checking `find'... not infected
Checking `fingerd'... not found
Checking `gpm'... not found
Checking `grep'... not infected
Checking `hdparm'... not found
Checking `su'... not infected
                    Checking `ifconfig'... INFECTED
Checking `inetd'... not tested
Checking `inetdconf'... not infected
Checking `identd'... not found
Checking `init'... not infected
Checking `killall'... not infected
Checking `ldsopreload'... not infected
Checking `login'... not infected
Checking `ls'... not infected
Checking `lsof'... not infected
Checking `mail'... not found
Checking `mingetty'... not found
Checking `netstat'... not infected
Checking `named'... not found
Checking `passwd'... not infected
Checking `pidof'... not infected
Checking `pop2'... not found
Checking `pop3'... not found
Checking `ps'... not infectedChecking `tcpd'... not infected
Checking `tcpdump'... not infected
Checking `top'... not infected
Checking `telnetd'... not found
Checking `timed'... not found
Checking `traceroute'... not infected
Checking `vdir'... not infected
Checking `w'... not infected
Checking `write'... not infected
Checking `aliens'... no suspect files
Searching for sniffer's logs, it may take a while... nothing found
Searching for HiDrootkit's default dir... nothing found
Searching for t0rn's default files and dirs... nothing found
 Searching for t0rn's v8 defaults... Possible t0rn v8 \(or variation\)
                           rootkit installed
Searching for Lion Worm default files and dirs... nothing found
Searching for RSHA's default files and dir... nothing found
Searching for RH-Sharpe's default files... nothing found
Searching for Ambient's rootkit (ark) default files and dirs... nothing
found
Searching for suspicious files and dirs, it may take a while... /usr/lib/xulrunner/.autoreg /usr/lib/iceweasel/.autoreg /lib/init/rw/.ramfs
Searching for LPD Worm files and dirs... nothing found
Searching for Ramen Worm files and dirs... nothing found
Searching for Maniac files and dirs... nothing found
Searching for RK17 files and dirs... nothing found
Searching for Ducoci rootkit... nothing found
Searching for Adore Worm... nothing found
Searching for ShitC Worm... nothing found
Searching for Omega Worm... nothing found
Searching for Sadmind/IIS Worm... nothing found
Searching for MonKit... nothing found
  Searching for Showtee... Warning: Possible Showtee Rootkit installed
Searching for OpticKit... nothing found
Searching for T.R.K... nothing found
Searching for Mithra... nothing found
Searching for LOC rootkit... nothing found
Searching for Romanian
rootkit...  /usr/include/file.h /usr/include/proc.h
Searching for Suckit rootkit... nothing found
Searching for Volc rootkit... nothing found
Searching for Gold2 rootkit... nothing found
Searching for TC2 Worm default files and dirs... nothing found
Searching for Anonoying rootkit default files and dirs... nothing found
Searching for ZK rootkit default files and dirs... nothing found
Searching for ShKit rootkit default files and dirs... nothing found
Searching for AjaKit rootkit default files and dirs... nothing found
Searching for zaRwT rootkit default files and dirs... nothing found
Searching for Madalin rootkit default files... nothing found
Searching for Fu rootkit default files... nothing found
Searching for ESRK rootkit default files... nothing found
Searching for rootedoor... nothing found
Searching for ENYELKM rootkit default files... nothing found
Searching for common ssh-scanners default
files... /var/tmp/._/alfa/ssh-scan
/var/tmp/._/alfa/pscan2
/var/tmp/._/alfa/vuln.txt
/var/tmp/scan/ssh-scan
/var/tmp/scan/vuln.txt
Searching for suspect PHP files... nothing found
Searching for anomalies in shell history files... Warning:
`//root/.qemu_history' file size is zero
Checking `asp'... not infected
Checking `bindshell'... not infected
                     Checking `pstree'... INFECTED
Checking `rpcinfo'... not infected
Checking `rlogind'... not found
Checking `rshd'... not found
Checking `slogin'... not infected
Checking `sendmail'... not foundChecking `lkm'... chkproc: nothing
detected
chkdirs: nothing detected
Checking `rexedcs'... not found
Checking `sniffer'... eth0: not promisc and no PF_PACKET sockets
Checking `w55808'... not infected
Checking `wted'... chkwtmp: nothing deleted
Checking `scalper'... not infected
Checking `slapper'... not infected
Checking `z2'... chklastlog: nothing deleted
Checking `chkutmp'...  The tty of the following user process(es) were
not found
 in /var/run/utmp !
! RUID          PID TTY    CMD
! root        13316 tty7   /usr/bin/X :0 -dpi 96 -audit 0
-auth /var/lib/gdm/:0.Xauth -nolisten tcp vt7
! hipoter      9795 pts/0  -bash
! root         9850 pts/0  su
! root         9851 pts/0  bash
! root        11047 pts/0  /bin/sh ./chkrootkit
! root        12110 pts/0  ./chkutmp
! root        12111 pts/0  ps ax -o tty,pid,ruser,args
chkutmp: nothing deleted
Checking `sshd'... not infected
Checking `syslogd'... not infected
Checking `tar'... not infected


        Bueno... como podeis ver tengo la suerte de estar infectado con el
"Searching for t0rn's v8 defaults... Possible t0rn v8 \(or variation\)
rootkit installed". A parte de que tengo modificado el fichero ifconfig
y el pstree.
        Cuando cargo el pstree me salta con:
pstree: error while loading shared libraries: libtermcap.so.2: cannot
open shared object file: No such file or directory.
        Algo pasa rarete también con el ifconfig porque cuando no tengo
conexión física y me pongo a cambiar de ip o hacer alguna gestión con el
mismo, pero sin tener conexión física (cable por ejmp), este se me queda
congelado por completo.
        Estoy tratando de ver mas cosas modificadas en el sistema, la tarjeta
de red no está en modo promiscuo que en cierto modo es tranquilizador.
Para ver esto he utilizado un .c que he buscado por ahí para
comprobarlo.

        Mis procesos: ps -auxfw





 ps auxfw
USER       PID %CPU %MEM    VSZ   RSS TTY      STAT START   TIME COMMAND
root         1  0.0  0.0   6124   692 ?        Ss   Feb05   0:00 init
[2] root 2 0.0 0.0 0 0 ? S Feb05 0:00
[migration/0]
root         3  0.0  0.0      0     0 ?        SN   Feb05   0:00
[ksoftirqd/0]
root         4  0.0  0.0      0     0 ?        S    Feb05   0:00
[watchdog/0]
root         5  0.0  0.0      0     0 ?        S    Feb05   0:00
[migration/1]
root         6  0.0  0.0      0     0 ?        SN   Feb05   0:00
[ksoftirqd/1]
root         7  0.0  0.0      0     0 ?        S    Feb05   0:00
[watchdog/1]
root         8  0.0  0.0      0     0 ?        S<   Feb05   0:00
[events/0]
root         9  0.0  0.0      0     0 ?        S<   Feb05   0:00
[events/1]
root        10  0.0  0.0      0     0 ?        S<   Feb05   0:00
[khelper]
root        11  0.0  0.0      0     0 ?        S<   Feb05   0:00
[kthread]
root        16  0.0  0.0      0     0 ?        S<   Feb05   0:00  \_
[kblockd/0]
root        17  0.0  0.0      0     0 ?        S<   Feb05   0:00  \_
[kblockd/1]
root        18  0.0  0.0      0     0 ?        S<   Feb05   0:00  \_
[kacpid]
root       129  0.0  0.0      0     0 ?        S<   Feb05   0:00  \_
[khubd]
root       131  0.0  0.0      0     0 ?        S<   Feb05   0:00  \_
[kseriod]
root       180  0.0  0.0      0     0 ?        S    Feb05   0:00  \_
[pdflush]
root       181  0.0  0.0      0     0 ?        S    Feb05   0:00  \_
[pdflush]
root       182  0.0  0.0      0     0 ?        S<   Feb05   0:00  \_
[kswapd0]
root       183  0.0  0.0      0     0 ?        S<   Feb05   0:00  \_
[aio/0]
root       184  0.0  0.0      0     0 ?        S<   Feb05   0:00  \_
[aio/1]
root       781  0.0  0.0      0     0 ?        S<   Feb05   0:00  \_
[ata/0]
root       782  0.0  0.0      0     0 ?        S<   Feb05   0:00  \_
[ata/1]
root       783  0.0  0.0      0     0 ?        S<   Feb05   0:00  \_
[ata_aux]
root       798  0.0  0.0      0     0 ?        S<   Feb05   0:00  \_
[scsi_eh_0]
root       803  0.0  0.0      0     0 ?        S<   Feb05   0:00  \_
[scsi_eh_1]
root      1065  0.0  0.0      0     0 ?        S<   Feb05   0:00  \_
[kjournald]
root      1603  0.0  0.0      0     0 ?        S<   Feb05   0:00  \_
[kpsmoused]
root      1936  0.0  0.0      0     0 ?        S<   Feb05   0:00  \_
[kmirrord]
root      2028  0.0  0.0      0     0 ?        S<   Feb05   0:00  \_
[kjournald]
root      2030  0.0  0.0      0     0 ?        S<   Feb05   0:00  \_
[kjournald]
root      1260  0.0  0.0  11436  1596 ?        S<s  Feb05   0:00 udevd
--daemon
root      2554  0.0  0.0   3728   664 ?        Ss   Feb05
0:00 /sbin/syslogd
root      2560  0.0  0.0   2656   388 ?        Ss   Feb05
0:00 /sbin/klogd -x
root      2591  0.0  0.0  16012  1044 ?        Ss   Feb05
0:00 /usr/sbin/hpiod
hplip     2594  0.0  0.3  48348  7104 ?        S    Feb05   0:00
python /usr/sbin/hpssd
root      2651  0.0  0.0  10108  1512 ?        S    Feb05
0:00 /bin/sh /usr/bin/mysqld_safe
mysql     2688  0.0  1.1 147548 23240 ?        Sl   Feb05   0:02
\_ /usr/sbin/mysqld --basedir=/usr --datadir=/var/lib/mysql --user=mysql
root      2689  0.0  0.0   2640   536 ?        S    Feb05   0:00  \_
logger -p daemon.err -t mysqld_safe -i -t mysqld
root      2805  0.0  0.0   2652   600 ?        Ss   Feb05
0:00 /usr/sbin/acpid -c /etc/acpi/events -s /var/run/acpid.socket
root      2826  0.0  0.1  28812  2392 ?        Ss   Feb05
0:07 /usr/sbin/cupsd
103       2834  0.0  0.0   9656  1032 ?        Ss   Feb05
0:00 /usr/bin/dbus-daemon --system
104       2846  0.0  0.2  19736  4332 ?        Ss   Feb05
0:00 /usr/sbin/hald
root      2847  0.0  0.0  11268  1128 ?        S    Feb05   0:00  \_
hald-runner
104       2854  0.0  0.0   9268   892 ?        S    Feb05   0:00      \_
hald-addon-acpi: listening on acpid socket /var/run/acpid.socket
104       2858  0.0  0.0   9268   900 ?        S    Feb05   0:00      \_
hald-addon-keyboard: listening on /dev/input/event0
root      2878  0.0  0.0   4956   672 ?        S    Feb05   0:12      \_
hald-addon-storage: polling /dev/hda
root      2885  0.0  0.0   4008   692 ?        Ss   Feb05
0:00 /usr/sbin/dhcdbd --system
root      2892  0.0  0.0  20968  1984 ?        Ss   Feb05
0:00 /usr/sbin/NetworkManager
--pid-file /var/run/NetworkManager/NetworkManager
root      2900  0.0  0.0  12312  1176 ?        Ss   Feb05
0:00 /usr/sbin/NetworkManagerDispatcher
--pid-file /var/run/NetworkManager/Netw
root      2937  0.0  0.0  28772  1508 ?        Ss   Feb05
0:00 /usr/sbin/nmbd -D
root      2939  0.0  0.1  40824  3192 ?        Ss   Feb05
0:00 /usr/sbin/smbd -D
root      2945  0.0  0.0  40716  1368 ?        S    Feb05   0:00
\_ /usr/sbin/smbd -D
root      2997  0.0  0.2  41648  4648 ?        S    Feb06   0:02
\_ /usr/sbin/smbd -D
root     13865  0.0  0.1  41096  2792 ?        S    12:07   0:00
\_ /usr/sbin/smbd -D
uml-net   2953  0.0  0.0   2652   440 ?        Ss   Feb05
0:00 /usr/bin/uml_switch -unix /var/run/uml-utilities/uml_switch.ctl
root      2977  0.0  0.0  30024  1776 ?        Ss   Feb05
0:00 /usr/sbin/winbindd
root      2983  0.0  0.0  30024  1348 ?        S    Feb05   0:00
\_ /usr/sbin/winbindd
root      3893  0.0  0.0  30024  1052 ?        S    Feb05   0:00
\_ /usr/sbin/winbindd
root      3041  0.0  0.0  55124  2004 ?        Ss   Feb05
0:00 /usr/sbin/gdm
root     13315  0.0  0.1  61632  2960 ?        S    Feb06   0:00
\_ /usr/sbin/gdm
root     13316 17.2  5.0 439004 104640 tty7    SLs+ Feb06 731:28
\_ /usr/bin/X :0 -dpi 96 -audit 0 -auth /var/lib/gdm/:0.Xauth -nolist
hipoter  13333  0.0  0.6 102960 13832 ?        Ss   Feb06   0:01      \_
x-session-manager
hipoter  13376  0.0  0.0  17816   792 ?        Ss   Feb06   0:00
\_ /usr/bin/ssh-agent /usr/bin/dbus-launch --exit-with-session x-
root      3070  0.0  0.0  11500   940 ?        Ss   Feb05
0:00 /usr/sbin/cron
root      3126  0.0  0.4  39860  9844 ?        Ss   Feb05
0:00 /usr/bin/perl /usr/share/webmin/miniserv.pl /etc/webmin/miniserv.conf
root      3137  0.0  0.0  25280  1216 tty1     Ss   Feb05
0:00 /bin/login -- root 12999 0.0 0.0 11784 2036 tty1 S+ Feb06 0:00 \_
-bash
root      3138  0.0  0.0   2656   540 tty2     Ss+  Feb05
0:00 /sbin/getty 38400 tty2
root      3139  0.0  0.0   2652   536 tty3     Ss+  Feb05
0:00 /sbin/getty 38400 tty3
root      3140  0.0  0.0   2652   536 tty4     Ss+  Feb05
0:00 /sbin/getty 38400 tty4
root      3141  0.0  0.0   2652   536 tty5     Ss+  Feb05
0:00 /sbin/getty 38400 tty5
root      3142  0.0  0.0   2656   536 tty6     Ss+  Feb05
0:00 /sbin/getty 38400 tty6
root      3155  0.0  0.0   1984   516 ?        Ss   Feb05
0:00 /sbin/ttyload -q
root      3157  0.0  0.0   1616   548 ?        R    Feb05   0:05 ttymon
tymon
hipoter  13379  0.0  0.0   7852   668 ?        S    Feb06
0:00 /usr/bin/dbus-launch --exit-with-session x-session-manager
hipoter  13380  0.0  0.0   9524   880 ?        Ss   Feb06
0:00 /usr/bin/dbus-daemon --fork --print-pid 4 --print-address 6
--session
hipoter  13382  0.0  0.2  23868  4764 ?        S    Feb06
0:00 /usr/lib/libgconf2-4/gconfd-2 5
hipoter  13385  0.0  0.0  10868   788 ?        S    Feb06
0:00 /usr/bin/gnome-keyring-daemon
hipoter  13387  0.0  0.1  29312  3628 ?        Ss   Feb06
0:00 /usr/lib/bonobo-activation/bonobo-activation-server --ac-activate
--ior-ou
hipoter  13389  0.0  0.5 116320 11728 ?        Sl   Feb06
0:04 /usr/lib/control-center/gnome-settings-daemon
--oaf-activate-iid=OAFIID:GN
hipoter  13391  0.0  0.3  97696  8164 ?        S    Feb06
0:12 /usr/lib/vino/vino-server
--oaf-activate-iid=OAFIID:GNOME_RemoteDesktopSer
hipoter  13411  0.0  1.1 121476 24220 ?        Ssl  Feb06   0:04
gnome-panel --sm-client-id default1
hipoter  13413  0.0  1.6 189824 33780 ?        Ssl  Feb06   0:09
nautilus --no-default-window --sm-client-id default2
hipoter  13418  0.0  0.3  88988  7824 ?        Ss   Feb06   0:00
vino-session --sm-client-id default5
hipoter  13420  0.0  0.2  57984  5792 ?        Ss   Feb06   0:00
bluetooth-applet
hipoter  13421  0.0  0.2  91252  6076 ?        Ss   Feb06   0:00
gnome-volume-manager --sm-client-id default4
hipoter  13423  0.0  0.2  51280  5216 ?        Sl   Feb06
0:00 /usr/lib/gnome-vfs-2.0/gnome-vfs-daemon
--oaf-activate-iid=OAFIID:GNOME_VF
hipoter  13425  0.0  0.7 104292 15052 ?        Ss   Feb06   0:01
update-notifier
hipoter  13429  0.0  0.3  78920  6344 ?        Ssl  Feb06   0:00
beryl-manager
hipoter  13521  0.0  0.6  69428 13308 ?        S    Feb06   0:18  \_
emerald --replace
hipoter  13530  4.9  3.2 208268 67064 ?        SL   Feb06 210:28  \_
beryl --skip-gl-yield
hipoter  13432  0.0  0.5  97480 11392 ?        Ss   Feb06   0:02
nm-applet --sm-disable
hipoter  13439  0.0  0.4 126948  9764 ?        Ss   Feb06   3:10
gnome-cups-icon --sm-client-id default3
hipoter  13452  0.0  0.7 102484 16348 ?        S    Feb06
0:12 /usr/lib/gnome-panel/wnck-applet
--oaf-activate-iid=OAFIID:GNOME_Wncklet_F
hipoter  13453  0.0  0.3  97156  6584 ?        Ss   Feb06   0:02
gnome-power-manager
hipoter  13490  0.0  0.0  10788   976 ?        S    Feb06
0:00 /usr/lib/nautilus-cd-burner/mapping-daemon
hipoter  13555  0.0  0.7 137068 15872 ?        Sl   Feb06
0:00 /usr/lib/gnome-panel/clock-applet
--oaf-activate-iid=OAFIID:GNOME_ClockApp
hipoter  13557  0.0  0.4  90384  8880 ?        S    Feb06
0:00 /usr/lib/gnome-panel/notification-area-applet
--oaf-activate-iid=OAFIID:GN
hipoter  13559  0.0  0.7 109596 15512 ?        S    Feb06
0:01 /usr/lib/gnome-applets/mixer_applet2
--oaf-activate-iid=OAFIID:GNOME_Mixer
hipoter  13565  0.0  0.8 125576 16824 ?        Sl   Feb06   3:31 xmms
hipoter  13577  0.0  0.3  86748  7424 ?        Ss   Feb06   0:06
gnome-screensaver
root      4992  0.0  0.4  94928  8616 ?        Ss   Feb08
0:00 /usr/sbin/apache2 -k start
www-data  5008  0.0  0.3  94928  6644 ?        S    Feb08   0:00
\_ /usr/sbin/apache2 -k start
www-data  5009  0.0  0.3  94928  6244 ?        S    Feb08   0:00
\_ /usr/sbin/apache2 -k start
www-data  5010  0.0  0.3  95040  6860 ?        S    Feb08   0:00
\_ /usr/sbin/apache2 -k start
www-data  5011  0.0  0.3  95040  6928 ?        S    Feb08   0:00
\_ /usr/sbin/apache2 -k start
www-data  5012  0.0  0.3  95096  7880 ?        S    Feb08   0:00
\_ /usr/sbin/apache2 -k start
www-data  9525  0.0  0.2  94928  4972 ?        S    10:45   0:00
\_ /usr/sbin/apache2 -k start
www-data 12641  0.0  0.2  94928  4972 ?        S    11:21   0:00
\_ /usr/sbin/apache2 -k start
hipoter   9312  0.2  2.0 270672 41484 ?        Sl   10:39   0:14
evolution-2.6
hipoter   9314  0.0  0.4 145480  8544 ?        Sl   10:39
0:00 /usr/lib/evolution/evolution-data-server-1.6
--oaf-activate-iid=OAFIID:GNO
hipoter   9320  0.0  0.5 166220 12144 ?        Sl   10:39
0:00 /usr/lib/evolution/2.6/evolution-alarm-notify
--oaf-activate-iid=OAFIID:GN
hipoter   9511  1.0  5.2 319720 108176 ?       Sl   10:45
0:54 /usr/lib/iceweasel/firefox-bin -a firefox
hipoter   9544  0.0  0.0      0     0 ?        Z    10:45   0:00  \_
[npviewer.bin] <defunct>
hipoter   9791  0.0  0.2  54476  4596 ?        S    10:57   0:00 Eterm
hipoter   9795  0.0  0.1  13284  3564 pts/0    Ss   10:57   0:00  \_
-bash
root      9850  0.0  0.0  19176  1144 pts/0    S    10:58   0:00      \_
su
root      9851  0.0  0.1  11596  2088 pts/0    S+   10:58   0:00
\_ bash
hipoter  12152  0.0  0.2  54640  4756 ?        S    11:04   0:00 Eterm
hipoter  12153  0.0  0.1  14480  3664 pts/1    Ss   11:04   0:00  \_
-bash
root     12373  0.0  0.0  19176  1144 pts/1    S    11:11   0:00      \_
su
root     12374  0.0  0.1  12808  2220 pts/1    S    11:11   0:00
\_ bash
root     13893  0.0  0.0   9784  1080 pts/1    R+   12:08   0:00
\_ ps auxfw


        Mis conexiones: netstat -lntpe
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address           Foreign Address
State User Inode PID/Program name tcp 0 0 127.0.0.1:2208 0.0.0.0:* LISTEN 0 6193 2591/hpiod tcp 0 0 127.0.0.1:47401 0.0.0.0:* LISTEN 112 6204 2594/python tcp 0 0 0.0.0.0:3306 0.0.0.0:* LISTEN 108 6341 2688/mysqld tcp 0 0 0.0.0.0:139 0.0.0.0:* LISTEN 0 8162 2939/smbd tcp 0 0 0.0.0.0:5900 0.0.0.0:* LISTEN 1000 55892 13391/vino-server tcp 0 0 0.0.0.0:9870 0.0.0.0:* LISTEN 0 8656 3155/ttyload tcp 0 0 0.0.0.0:10000 0.0.0.0:* LISTEN 0 8585 3126/perl tcp 0 0 127.0.0.1:631 0.0.0.0:* LISTEN 0 131839 2826/cupsd tcp 0 0 0.0.0.0:445 0.0.0.0:* LISTEN 0 8161 2939/smbd tcp6 0 0 :::80 :::* LISTEN 0 109020 4992/apache2


        Nmap: nmap localhost

Starting Nmap 4.11 ( http://www.insecure.org/nmap/ ) at 2009-02-09 11:52
CET
Interesting ports on localhost (127.0.0.1):
Not shown: 1673 closed ports
PORT      STATE SERVICE
80/tcp    open  http
139/tcp   open  netbios-ssn
445/tcp   open  microsoft-ds
631/tcp   open  ipp
3306/tcp  open  mysql
5900/tcp  open  vnc
10000/tcp open  snet-sensor-mgmt


Podeis imaginar lo que hice con el ssh despues de ver el .bash_history.

        Estoy a punto de reinstalar el sistema base o actualizarlo para
recuperar los binarios que tengo modificados y "terminar con el
problema". Me gustaría investigar mas a parte de lo comentado hasta
ahora para saber mas acerca de este tipo de ataques y por donde han
entrado que es lo que me hace romperte el celebro, físicamente en este
ordenador sólo estoy yo trabajando y aqui nadie lo usa porque todos son
windowseros profesionales, de manera que nadie ha cojido y se ha puesto
a instalar cosas raras en el sistema, no dejo a nadie del exterior que
entre al server via ssh ni vnc... resumiento, que nadie toca esta
máquina menos yo, y a no ser que un día me habría fumado un porro y me
pusiese a hacer cosas extrañas en el sistema, luego no se como se ha
podido esto petar.

        Me da por pensar.... y me acuerdo del servidor web este que tenía el
windows nt server creo que se llamaba iss 2, el caso es que pude
comprobar que había un gusano/troyano como se llame que infectaba el
mismo y abría el netbios de manera que podías tener acceso a los datos
del infectado, que el mismo a su vez infectaba a otros servidores
similares con el mismo fallo. Comento esto, porque pienso que al apache
le ha pasado algo parecido, si no me explico como carajo han conseguido
entrar y borrar el .bash_history, pero esto es sólo una teoría mia.

        A ver si alguien puede indicarme que otras cosas puedo comprobar antes
de reinstalar los binarios infectados.
- ¿ Donde estan instalados los ficheros del f0n este ?
¿ Como se ha infectado mi máquina ? ¿ Que otra información debería comprobar antes de reparar ?

        Espero que este post sirva de interes para aquellos que lo consideren y
colaboren a saber el porqué.... :-)

Salu2.








Estimado:

Pueden ser varios los factores que hacen que tengas problemas, pero un par demeras es instalado Nessus y snort como para tener una idea mas clara de lo que estas haciendo, por otro lado no necesariamente puede ser que sea un rootkit lo que hicieron, pueden haber tirado un exploit, revisa bien los servicios que tienes andando y busca bien las versiones de estos y si hay algun bug o algo parecido que haga al atacante escalar privilegios

Saludos

--
Carlos Patricio Alegría Muñoz
Técnico de nivel superior en redes de computadores
Ingeniero (e) en Computación e Informática
Ayudante de Laboratorios de Computación
Instituto Profesional Virginio Gómez
Concepción - Chile


--
To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org

Responder a