El día 8/05/07, Alvaro Herrera <[EMAIL PROTECTED]> escribió: > > Eduardo Peña Ceballos escribió: > > Cristian Rodriguez wrote: > > >nada es confiable.. ls, top o cualquier binario comun (sh , bash lo > > >que sea..) te miente. > > > > Y si saco un md5 del binario y al compararlo con el de una maquina sana, > > pasa lo mismo ? > > Con un rootkit comun y corriente lo podras detectar, pero un rootkit > realmente avanzado puede entregarte el binario original para md5 y > demas, de manera que tu no lo detectes, mientras que al momento de > ejecutarlo ponga un programa distinto. > > Esto requiere modificar el kernel obviamente, asi que no cualquiera > puede hacerlo, pero no es imposible. > > -- > Alvaro Herrera > http://www.amazon.com/gp/registry/5ZYLFMCVHXC > "We are who we choose to be", sang the goldfinch > when the sun is high (Sandman)
en todo caso algo entregan los logs aunque sean mentiras :) y si le hacen que te toque una canción algo de la persona que creó la composición igual queda dentro del sistema... para lo del rootkit yo uso dos y que son re-buenos, el rkhunter y el tripwire, sobre todo este último que te puede comparar una base instalada sana con lo que tienes en esa máquina .... salu2 From [EMAIL PROTECTED] Tue May 8 12:08:16 2007 From: [EMAIL PROTECTED] (Exal de Jesus Garcia Carrillo) Date: Tue May 8 12:10:05 2007 Subject: mujeres y floss?... In-Reply-To: <[EMAIL PROTECTED]> References: <[EMAIL PROTECTED]> Message-ID: <[EMAIL PROTECTED]> -----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El Martes, 8 de Mayo de 2007 10:15, mauricio vargas escribió: [...] > Alguno (a) sabe de algún estudio, página, o comunidad que de cuenta de la > participación femenina en las TI. Dile que a tu esposa que se de una vuelta por http://www.chicaslinux.org saludos . -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.3 (GNU/Linux) iD8DBQFGQKB3oZmxoVJRtGIRAuCEAJ9Cs5TTL8T6j0Aj/2iLyhkXB0K06ACeMt1T CXH28uGzuHuQVPADvi9y8IA= =tkjV -----END PGP SIGNATURE----- From [EMAIL PROTECTED] Tue May 8 12:12:04 2007 From: [EMAIL PROTECTED] (=?ISO-8859-1?Q?Germ=E1n_Po=F3_Caama=F1o?=) Date: Tue May 8 12:13:06 2007 Subject: Hack en maquina redhat enterprise In-Reply-To: <[EMAIL PROTECTED]> References: <[EMAIL PROTECTED]> <[EMAIL PROTECTED]> <[EMAIL PROTECTED]> <[EMAIL PROTECTED]> <[EMAIL PROTECTED]> Message-ID: <[EMAIL PROTECTED]> On Tue, 2007-05-08 at 11:12 -0400, Alvaro Herrera wrote: > Eduardo Peña Ceballos escribió: > > Cristian Rodriguez wrote: > > >nada es confiable.. ls, top o cualquier binario comun (sh , bash lo > > >que sea..) te miente. > > > > Y si saco un md5 del binario y al compararlo con el de una maquina sana, > > pasa lo mismo ? > > Con un rootkit comun y corriente lo podras detectar, pero un rootkit > realmente avanzado puede entregarte el binario original para md5 y > demas, de manera que tu no lo detectes, mientras que al momento de > ejecutarlo ponga un programa distinto. > > Esto requiere modificar el kernel obviamente, asi que no cualquiera > puede hacerlo, pero no es imposible. No es necesario modificar el kernel, sino el programa md5sum. Que, para una versión dada de la distro, mantenga un listado de las sumas MD5 de todos los programas comunes del sistema. Así, no calcula MD5, sólo hace la finta que lo hace. Creo que más valdría intentar montar el disco (modo lectura) en un equipo limpio, y desde allí realizar las sumas MD5 para comparar con las del equipo limpio. -- Germán Poó Caamaño Concepción - Chile
