El vie, 23 de nov de 2001, Jaume Sabater escribi�... > Enas... o malas, para mi... > > Tengo un servidor potato (antes tenia el kernel 2.2.17) al que le han metido > el troyano KLM (segun me dice el chkrootkit-0.34). El caso es que tenia un > proceso oculto y un inodo oculto (no se si los sigo teniendo, ahora no me > dice nada el chkrootkit). Adem�s, he recibido una llamada dici�ndome que mi > m�quina es una tumbam�quinas nocturna, de 2 a 3 (segun me han dicho) se > dedica a escanear puertos de otras m�quinas y cosas por el estilo. > > Segun me he enterado, ese troyano es en realidad un m�dulo del kernel. De ah� > su capacidad para ocultarse (no sale en /proc). Como medida urgente he > compilao, en otra potato, el 2.2.20 _sin_ soporte de m�dulos, de forma que el > supuesto m�dulo troyano no se pueda cargar. > > Adem�s, he revisado todos los archivos setuid y setgid, al parecer ninguno de > ellos ha sido modificado. Tampoco lo han sido los que comprueba el chkrootkit > (tengo los ojos chinos de tanto leer md5sums). > > Estoy ahora revisando todos los archivos con fecha reciente de modificaci�n > (no se si el malditor troyano es capaz de modificar archivos sin modificar la > fecha de modificaci�n) > > Tambi�n he puesto un firewall delante de esta m�quina para loguear todos los > paquetes, a ver que hace esta noche... > > El caso es que dicha m�quina no se encuentra en mis instalaciones sin� a unos > 30Km, en otra empresa, y para colmo no tiene unidad de cdrom; por lo que una > reinstalaci�n a pi��n se me hace muy dif�cil. > > Es por eso que si me podeis ayudar en algo, si sabeis algo mas que yo de > dicho troyano, si me podeis decir algo que hacer, etc... porfavor, decidmelo, > ando algo perdido.
Hola he encontrado esto en google http://www.duho.cjb.net/KB/advanced/rootkit/linux-lkm.htm y hace poco dieron una charla en el IRC (creo que en #root) de como implementarlos. Yo no soy sysadmin ni nada por el estilo pero creo que lo m�s conveniente es desconectar la m�quina de Internet si ha sido comprometida y estudiar la situaci�n "in situ". Un saludo, Manuel.
