Re: Pregunta poco frecuente sobre apt-get y dkpg

Wed, 08 Oct 2003 04:31:52 -0500 

El Wed, 08 Oct 2003 11:06:03 +0200
"Rafael F." Rodr�guez <[EMAIL PROTECTED]> escribi�:

> Hola ;-) .
> 
>       Si claro, lo que intento es encontrar alg�n posible mecanismo
>       por el
> cual pueda reinstalar todos los paquetes en el caso de ser pacheados
> por alg�n rootkit o troyano.
> 
>       Los rootkit se encargan en sustituir los comandos m�s comunes,
>       tales
> como ls, su, sudo, etc.... , en tal caso si reinstalo todos los
> paquetes de una sentada estos comando son re-sustituidos y por lo
> tango el rootkit desaparecer�.
> 
>       No s� si puede ser la soluci�n definitiva pero hasta ahora me
>       est�
> funcionando, eso s�, teclando el apt-get install --reinstall a mano
> por cada uno de los paquetes :-( .
> 
> 

Hola:
        <comentario de humor negro>Estas combatiendo el hambre y la pobreza,
matando a los pobres y alimentando con �stos a los
hambrientos</comentario de humor negro>

        Luego de una reinstalaci�n, deber�as sacar un snapshot de la
integridad de los archivos reci�n instalados con alg�n programa (creo
que hab�a uno as� en Woody) y comparar cada cierto tiempo.

        Y lo m�s importante, intentar ver como entro el rootkit en tu
m�quina, y si es por alg�n usuario, tratar de darle los menos recursos
posibles (o rechazarlo e intentar tener acceso f�sico a esta persona
para .......). F�jate si con el comando strace notas algo distinto a
lo normal, y tratar de tomar todas las medidas "paran�icas" que puedas
(desde descartar los icmp, hasta capar el ssh para que solo te
responda a tu IP).

        Piensa que si tienes rootkits muy a menudo en tu sistema, hay algo
que est� fallando "alevosamente" y por m�s reinstalaciones que hagas,
siempre caer�s en la misma situaci�n. Si yo estuviese en tu lugar, y
no tengo ning�n servicio exclusivo para linux, intentar�a cambiarme
hacia otro OS (BeOS, FreeBSD, OpenBSD, NetBSD, etc) para dificultarle
un poco las cosas al atacante e intentar ver si el tipo de ataque es
exclusivo para Linux o para alg�n servicio en especial.









-- 
Atentamente, yo <Mat�as>
Nunca hay libertad en una invasi�n
http://nnss.d7.be
http://savannah.gnu.org/projects/tasklist
Con $ 1786 $ spams desde el 2003-09-22 12:00:00 GMT 000

Responder a