El Tue, 07 Oct 2003 13:56:56 +0200
"Rafael F." Rodr�guez <[EMAIL PROTECTED]> escribi�:
> Hola Lista.
>
> He realizado un chkrootkit en mi sistema y me he encontrado
> con esto
Yo hace un tiempo cre� tener un troyano, corr� el mismo programa que
tu mencionas y los "troyanos" que encontr� fueron cosas m�as (scripts
en perl que eran inofensivos) y un convertidor de asp a php. Al
tiempo, y luego que un amigo mio que sabe bastante la revise, no pudo
encontrar nada extra�o, pero el chkrootkit segu�a mostrando lo mismo
(todos programas inofensivos). Por eso te digo que no conf�es
demasiado en ese programa (aunque por el error que dices no creo que
se equivoque por mucho).
Prueba en correr el "strace" utilizando alg�n CD-Live, y compara los
resultados que muestra el ejecutable de tu disco con el del CD-Live.
>
> Checking `lkm'... You have 2 process hidden for ps command
> Warning: Possible LKM Trojan installed
>
> Ademas de volver a revisar el cortafuegos �como puedo eliminarlo sin
> necesidad de reinstalar el sistema?
El firewall solo es la primer barrera de defensa, nada m�s. Si tienes
un servidor web con agujeros de seguridad importantes (por decir alg�n
servicio), y est�s recibiendo ataques, para el firewall ser� todo
normal y permitido.
Si es una m�quina en producci�n, que tiene informaci�n importante,
creo que deber�as sacarla de l�nea y tratar de estudiarla para ver que
tan grave es el asunto. Pero si es una m�quina casera, f�jate de hacer
un backup de los archivos de configuraci�n (revisando que tiene cada
uno) junto con los archivos de tus usuarios, y reinstala; te ahorrar�s
mucho tiempo.
>
> He teclado lo siguiente find / -perm +4000 -print
> y me ha devuelvo:
> /bin/su
> /bin/ping
> /bin/mount
> /bin/umount
> /bin/xlogin
Los permisos est�n bien, pero �el chkrootkit te los marca como
infectados? Prueba de ver si encuentras algo sospechoso con strace
>
> �Si reinstalo esto paquetes me desaparece el problema?
>
No exactamente, si esos paquetes estaban infectados de alguna manera,
y no hay nada que los infecte otra vez, al reinstalarlos acabar�an
todos tus problemas, pero puede ser que sigas teniendo el troyano que
los sigue infectando, y luego de la reinstalaci�n seguir�s teniendo el
mismo problema.
--
Atentamente, yo <Mat�as>
Nunca hay libertad en una invasi�n
http://nnss.d7.be
http://savannah.gnu.org/projects/tasklist
Con $ 1786 $ spams desde el 2003-09-22 12:00:00 GMT 000
