Holas ;-) .
Al final al reinstalar todo ya el chkrootkit no me ha dado ning�n
problema, ahora toca la segunda fase, nessus que te crio para ver como
diablos han podido entrar en el sistema :-) .
El mi�, 08-10-2003 a las 11:08, Matias escribi�:
> El Tue, 07 Oct 2003 13:56:56 +0200
> "Rafael F." Rodr�guez <[EMAIL PROTECTED]> escribi�:
>
> > Hola Lista.
> >
> > He realizado un chkrootkit en mi sistema y me he encontrado
> > con esto
>
> Yo hace un tiempo cre� tener un troyano, corr� el mismo programa que
> tu mencionas y los "troyanos" que encontr� fueron cosas m�as (scripts
> en perl que eran inofensivos) y un convertidor de asp a php. Al
> tiempo, y luego que un amigo mio que sabe bastante la revise, no pudo
> encontrar nada extra�o, pero el chkrootkit segu�a mostrando lo mismo
> (todos programas inofensivos). Por eso te digo que no conf�es
> demasiado en ese programa (aunque por el error que dices no creo que
> se equivoque por mucho).
>
> Prueba en correr el "strace" utilizando alg�n CD-Live, y compara los
> resultados que muestra el ejecutable de tu disco con el del CD-Live.
>
> >
> > Checking `lkm'... You have 2 process hidden for ps command
> > Warning: Possible LKM Trojan installed
> >
> > Ademas de volver a revisar el cortafuegos �como puedo eliminarlo sin
> > necesidad de reinstalar el sistema?
>
> El firewall solo es la primer barrera de defensa, nada m�s. Si tienes
> un servidor web con agujeros de seguridad importantes (por decir alg�n
> servicio), y est�s recibiendo ataques, para el firewall ser� todo
> normal y permitido.
>
> Si es una m�quina en producci�n, que tiene informaci�n importante,
> creo que deber�as sacarla de l�nea y tratar de estudiarla para ver que
> tan grave es el asunto. Pero si es una m�quina casera, f�jate de hacer
> un backup de los archivos de configuraci�n (revisando que tiene cada
> uno) junto con los archivos de tus usuarios, y reinstala; te ahorrar�s
> mucho tiempo.
>
> >
> > He teclado lo siguiente find / -perm +4000 -print
> > y me ha devuelvo:
> > /bin/su
> > /bin/ping
> > /bin/mount
> > /bin/umount
> > /bin/xlogin
>
> Los permisos est�n bien, pero �el chkrootkit te los marca como
> infectados? Prueba de ver si encuentras algo sospechoso con strace
>
> >
> > �Si reinstalo esto paquetes me desaparece el problema?
> >
> No exactamente, si esos paquetes estaban infectados de alguna manera,
> y no hay nada que los infecte otra vez, al reinstalarlos acabar�an
> todos tus problemas, pero puede ser que sigas teniendo el troyano que
> los sigue infectando, y luego de la reinstalaci�n seguir�s teniendo el
> mismo problema.
>
>
>
>
>
>
>
> --
> Atentamente, yo <Mat�as>
> Nunca hay libertad en una invasi�n
> http://nnss.d7.be
> http://savannah.gnu.org/projects/tasklist
> Con $ 1786 $ spams desde el 2003-09-22 12:00:00 GMT 000
>
