Enas... o malas, para mi... Tengo un servidor potato (antes tenia el kernel 2.2.17) al que le han metido el troyano KLM (segun me dice el chkrootkit-0.34). El caso es que tenia un proceso oculto y un inodo oculto (no se si los sigo teniendo, ahora no me dice nada el chkrootkit). Adem�s, he recibido una llamada dici�ndome que mi m�quina es una tumbam�quinas nocturna, de 2 a 3 (segun me han dicho) se dedica a escanear puertos de otras m�quinas y cosas por el estilo.
Segun me he enterado, ese troyano es en realidad un m�dulo del kernel. De ah� su capacidad para ocultarse (no sale en /proc). Como medida urgente he compilao, en otra potato, el 2.2.20 _sin_ soporte de m�dulos, de forma que el supuesto m�dulo troyano no se pueda cargar. Adem�s, he revisado todos los archivos setuid y setgid, al parecer ninguno de ellos ha sido modificado. Tampoco lo han sido los que comprueba el chkrootkit (tengo los ojos chinos de tanto leer md5sums). Estoy ahora revisando todos los archivos con fecha reciente de modificaci�n (no se si el malditor troyano es capaz de modificar archivos sin modificar la fecha de modificaci�n) Tambi�n he puesto un firewall delante de esta m�quina para loguear todos los paquetes, a ver que hace esta noche... El caso es que dicha m�quina no se encuentra en mis instalaciones sin� a unos 30Km, en otra empresa, y para colmo no tiene unidad de cdrom; por lo que una reinstalaci�n a pi��n se me hace muy dif�cil. Es por eso que si me podeis ayudar en algo, si sabeis algo mas que yo de dicho troyano, si me podeis decir algo que hacer, etc... porfavor, decidmelo, ando algo perdido. -- Jaume Sabater - Aqu� hi va una firma -
