Re: Rootkit.
On Mon, Feb 09, 2009 at 08:07:09AM -0800, consultores1 wrote: El lun, 09-02-2009 a las 10:46 -0430, Kellerman Rivero Suarez escribió: El lun, 09-02-2009 a las 12:15 +0100, Francisco Calero escribió: Hola a todos, hace ya un tiempo me pasó que la contraseña de root cambió sin que nadie (aparentemente) lo hiciese, de maneara que no le di importancia porque estaba con otros haceres, de manera que restauré la clave de root y a funcionar. Hace un par de semanas me pasó lo mismo, con lo que mi sospechas fueron a mayor grado. Empecé a investigar un poco y cuando vi el .bash_history del usuario root tenía sólo 3 líneas. Estoy a punto de reinstalar el sistema base o actualizarlo para recuperar los binarios que tengo modificados y terminar con el problema. Me gustaría investigar mas a parte de lo comentado hasta ahora para saber mas acerca de este tipo de ataques y por donde han entrado que es lo que me hace romperte el celebro, físicamente en este ordenador sólo estoy yo trabajando y aqui nadie lo usa porque todos son windowseros profesionales, de manera que nadie ha cojido y se ha puesto a instalar cosas raras en el sistema, no dejo a nadie del exterior que entre al server via ssh ni vnc... resumiento, que nadie toca esta máquina menos yo, y a no ser que un día me habría fumado un porro y me pusiese a hacer cosas extrañas en el sistema, luego no se como se ha podido esto petar Sobre todo por lo de Me gustaria... que es lo que me hace romperTe el cerebro ¿A quien vas a romperle el cerebro? :-/ Que agresividad ;-D ¿Que no los dejas? Entonces... ¿Tienes un firewall? ¿O acaso (...) tienes ssh y vnc configurados para aceptar solo conexiones locales (xD)? Si, por toda la conversacion yo diria que las drogas son la causa mas probable. :-D Me da por pensar y me acuerdo del servidor web este que tenía el windows nt server creo que se llamaba iss 2, el caso es que pude comprobar que había un gusano/troyano como se llame que infectaba el mismo y abría el netbios de manera que podías tener acceso a los datos del infectado, que el mismo a su vez infectaba a otros servidores similares con el mismo fallo. Comento esto, porque pienso que al apache le ha pasado algo parecido, si no me explico como carajo han conseguido entrar y borrar el .bash_history, pero esto es sólo una teoría mia. Y si, Internet Information Server es el servidor que probablemente tenias en windows nt server. De todos modos, eso es ot, y el resto de este parrafo no tiene demasiado sentido. Si bien se te pueden haber colado por apache, es improbable en un sistema actualizado. A ver si alguien puede indicarme que otras cosas puedo comprobar antes de reinstalar los binarios infectados. Todo el sistema, entero, deberias comprobar la integridad de los ficheros, con debsums, y aun asi no te garantiza nada. Leete el debian security howto. De todos modos te podria aconsejar que: a Usaras un firewall (Si, en linux es tan necesario como en windows). b Usaras algun sistema de comprobacion de integridad de ficheros como tripwire, o un sistema como tiger, que incluye comprobacion de integridad, host ips, revisor de logs y otras muchas cosas. -- Y aun con todo, se te puede pasar algo. - ¿ Donde estan instalados los ficheros del f0n este ? ¿ Como se ha infectado mi máquina ? ¿ Que otra información debería comprobar antes de reparar ? Sobre como se ha infectado tu maquina... Hay mil y una maneras, las mil primeras tienen bastante que ver con el administrador del sistema (supongo que ese eres tu) y la otra no la conozco. Por lo que dices, tu sistema era un colador... Espero que este post sirva de interes para aquellos que lo consideren y colaboren a saber el porqué :-) Mas que el porque, yo te recomendaria investigar mas sobre el como evitarlo. Especificamente hace algun tiempo lei, el funcionamiento de los rootkits en linux, ahora bien raramente se usa la vulnerabilidad de un binario para subir y escalar privilegios, asi que empiezo a responder tus preguntas. 1) ¿Donde estan los archivos del rootkit? R: El rootkit, seguramente sobreescribio los archivos infectados a traves de algun exploit que explotaba una vulnerabilidad en un servicio. Asi que ya con archivos con los archivos comprometidos (probablemente aquellos con el setuid de root) ya no hacen falta los archivos originales si es que alguna vez los hubo. 2) ¿Como se ha infectado tu maquina? R: Si estas seguro que nadie fisicamente tuvo acceso a ella, seguramente haya sido por algun servicio corriendo, he alli la importancia de desactivar los servicios que no usemos y actualizar contra bugs y fallos descubiertos los que tenemos funcionando. Seguramente un exploit se aprovecho de algun servicio vulnerable. Y de proteger fisicamente el equipo. 3) ¿Que deberias hacer antes de reinstalar los binarios? R: Lo mas sensato, seria verificar la
Re: Rootkit.
El día 10 de febrero de 2009 4:26, consultores1 consultor...@gmail.com escribió: El lun, 09-02-2009 a las 20:43 -0430, Kellerman Rivero Suarez escribió: mmm... Es mejor que dejes el tema, ya nadie le presta atencion a ignorantes y newbies como tu hermano.. lo siento pero este post ha bajado tu reputacion , demuestra tu escaso dominio del mundo linux! Preferiria que te abstuvieras de comentarios Como te dije antes, deja de enviar correos a mi cuenta personal, envialos a la lista. Siempre puedes hacer lo que acabo de hacer yo contigo, al filtro antispam. Y por favor no me llames hermano, a no ser que estes seguro que el pene de mi padre haya sido introducido en la vulva de tu madre. Te aclaro que no tengo ninguna reputacion que cuidar, eso es tipico de los mariquitas u homosexuales! y por lo del tema, pues de verdad que aqui le corto. Estos comentarios están de más en esta lista. Para insultar y ofender seguro que existen otras listas, y de no ser así te invito a que fundes una. Gracias. -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: [OT] Ruído (era Re: Rootkit.)
Ésta es una lista técnica de Debian y sus alrededores: ahora le tocaba el turno a los rootkits: quedémosnos en ellos y no desviemos la atención. Gracias por la colaboración. Por favor ya corten este asunto denigrante para una lista como esta... si quieren seguir los dimes y diretes, por favor, mejor vayan a discutirlos al programa de la Dra. Polo («Gato Encerrado» se llama?)... -- Saludos, Mauricio J. Adonis C. ___ Usuario Linux # 482032 -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: Rootkit.
El mar, 10-02-2009 a las 05:07 -0200, excalibur escribió: Hola Desde mi perspectiva, tenemos 2 fuentes de informacion mucho mas apropiadas, las man y los .doc; ambas estan instaladas por defecto en el SO. En internet, generalmente se encuentran miles de referencias, pero o son obsoletas, o son confusas; asi que me parece que se desperdician los esfuerzos hechos para crear las man y los .doc que generalmente son especificas. .doc??? :S -- /usr/share/doc y documentacion en Synaptic. -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
rootkit-3. Forense.
Hola, tras haber estado comentado acerca de los rootkit y demás historias, han mencionado el trabajo de forense informático, me gustaría comentar un poco. - ¿ Que es lo que hace este tipo de personas en un sistema comprotemido? - ¿ Existe una carrera para estudiar forense informático ? ;-) - ¿ Donde se pueden encontrar las herramientas que estos usan para llevar a cabo su cometido ? En definitiva este post lo hago para conocer un poco mas acerca de esos tipos de trabajos, cualquier aportación será genial. Salu2. -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: rootkit-3. Forense.
2009/2/10 Francisco Calero p...@inproda.es: Hola, tras haber estado comentado acerca de los rootkit y demás historias, han mencionado el trabajo de forense informático, me gustaría comentar un poco. - ¿ Que es lo que hace este tipo de personas en un sistema comprotemido? - ¿ Existe una carrera para estudiar forense informático ? ;-) - ¿ Donde se pueden encontrar las herramientas que estos usan para llevar a cabo su cometido ? En definitiva este post lo hago para conocer un poco mas acerca de esos tipos de trabajos, cualquier aportación será genial. Salu2. -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Aquí tienes un pdf interesante http://www.linuxleo.org/Docs/linuxintro-LEFE-3.78.pdf Saludos -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Rootkit.
Hola a todos, hace ya un tiempo me pasó que la contraseña de root cambió sin que nadie (aparentemente) lo hiciese, de maneara que no le di importancia porque estaba con otros haceres, de manera que restauré la clave de root y a funcionar. Hace un par de semanas me pasó lo mismo, con lo que mi sospechas fueron a mayor grado. Empecé a investigar un poco y cuando vi el .bash_history del usuario root tenía sólo 3 líneas. su password rm .bash_history Verdaderamente se puede decir que son tres comandos muy comprometidos si tienes la clave de root (información que no se como la han conseguido). El caso es que despues de ver esto me puse manos a la obra para averiguar un poco sobre lo que estaba pasando. Encontré algo acerca de los rootkit para linux, concretamente el chkrootkit-0.48 que me dió la siguiente salida: r...@calculon:/home/hipoter/chkrootkit-0.48# cat salida ROOTDIR is `/' Checking `amd'... not found Checking `basename'... not infected Checking `biff'... not found Checking `chfn'... not infected Checking `chsh'... not infected Checking `cron'... not infected Checking `crontab'... not infected Checking `date'... not infected Checking `du'... not infected Checking `dirname'... not infected Checking `echo'... not infected Checking `egrep'... not infected Checking `env'... not infected Checking `find'... not infected Checking `fingerd'... not found Checking `gpm'... not found Checking `grep'... not infected Checking `hdparm'... not found Checking `su'... not infected Checking `ifconfig'... INFECTED Checking `inetd'... not tested Checking `inetdconf'... not infected Checking `identd'... not found Checking `init'... not infected Checking `killall'... not infected Checking `ldsopreload'... not infected Checking `login'... not infected Checking `ls'... not infected Checking `lsof'... not infected Checking `mail'... not found Checking `mingetty'... not found Checking `netstat'... not infected Checking `named'... not found Checking `passwd'... not infected Checking `pidof'... not infected Checking `pop2'... not found Checking `pop3'... not found Checking `ps'... not infectedChecking `tcpd'... not infected Checking `tcpdump'... not infected Checking `top'... not infected Checking `telnetd'... not found Checking `timed'... not found Checking `traceroute'... not infected Checking `vdir'... not infected Checking `w'... not infected Checking `write'... not infected Checking `aliens'... no suspect files Searching for sniffer's logs, it may take a while... nothing found Searching for HiDrootkit's default dir... nothing found Searching for t0rn's default files and dirs... nothing found Searching for t0rn's v8 defaults... Possible t0rn v8 \(or variation\) rootkit installed Searching for Lion Worm default files and dirs... nothing found Searching for RSHA's default files and dir... nothing found Searching for RH-Sharpe's default files... nothing found Searching for Ambient's rootkit (ark) default files and dirs... nothing found Searching for suspicious files and dirs, it may take a while... /usr/lib/xulrunner/.autoreg /usr/lib/iceweasel/.autoreg /lib/init/rw/.ramfs Searching for LPD Worm files and dirs... nothing found Searching for Ramen Worm files and dirs... nothing found Searching for Maniac files and dirs... nothing found Searching for RK17 files and dirs... nothing found Searching for Ducoci rootkit... nothing found Searching for Adore Worm... nothing found Searching for ShitC Worm... nothing found Searching for Omega Worm... nothing found Searching for Sadmind/IIS Worm... nothing found Searching for MonKit... nothing found Searching for Showtee... Warning: Possible Showtee Rootkit installed Searching for OpticKit... nothing found Searching for T.R.K... nothing found Searching for Mithra... nothing found Searching for LOC rootkit... nothing found Searching for Romanian rootkit... /usr/include/file.h /usr/include/proc.h Searching for Suckit rootkit... nothing found Searching for Volc rootkit... nothing found Searching for Gold2 rootkit... nothing found Searching for TC2 Worm default files and dirs... nothing found Searching for Anonoying rootkit default files and dirs... nothing found Searching for ZK rootkit default files and dirs... nothing found Searching for ShKit rootkit default files and dirs... nothing found Searching for AjaKit rootkit default files and dirs... nothing found Searching for zaRwT rootkit default files and dirs... nothing found Searching for Madalin rootkit default files... nothing found Searching for Fu rootkit default files... nothing found Searching for ESRK rootkit default files... nothing found Searching for rootedoor... nothing found Searching for ENYELKM rootkit default files... nothing found Searching for common ssh-scanners default files... /var/tmp/._/alfa/ssh-scan /var/tmp/._/alfa/pscan2 /var/tmp/._/alfa/vuln.txt /var/tmp/scan/ssh-scan /var/tmp/scan/vuln.txt Searching
Re: Rootkit.
Francisco Calero escribió: - ¿ Donde estan instalados los ficheros del f0n este ? ¿ Como se ha infectado mi máquina ? ¿ Que otra información debería comprobar antes de reparar ? Espero que este post sirva de interes para aquellos que lo consideren y colaboren a saber el porqué :-) No entiendo mucho de seguridad, así que no puedo ser de gran ayuda. Pero si te digo que internet parece estar infectado de gusanos y troyanos porque en los logs de mi firewall aparecen todos los días cientos de intentos de conexión de tipo netbios. Vienen de todas partes, con lo que parece ser algo masivo muy extendido. Lo que no entiendo es como algo del Windows se ha podido meter en tu ordenador. La unica forma que se me ocurre es un fallo de seguridad en algún servicio (porque usarás firewall, ¿no?) que permitiera el escalado hasta root. O eso o tienes una contraseña de tipo 1234, jeje. Tampoco descartes que se hayan podido meter físicamente. Y cualquiera que parezca que es un currante más puede que sea en realidad un lobo desfrazado de cordero... hay hackers en todas partes y no siempre se les nota. ;) -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: Rootkit.
On Mon, 2009-02-09 at 12:15 +0100, Francisco Calero wrote: Hola a todos, hace ya un tiempo me pasó que la contraseña de root cambió sin que nadie (aparentemente) lo hiciese, de maneara que no le di importancia porque estaba con otros haceres, de manera que restauré la clave de root y a funcionar. Hace un par de semanas me pasó lo mismo, con lo que mi sospechas fueron a mayor grado. Empecé a investigar un poco y cuando vi el .bash_history del usuario root tenía sólo 3 líneas. su password rm .bash_history Verdaderamente se puede decir que son tres comandos muy comprometidos si tienes la clave de root (información que no se como la han conseguido). El caso es que despues de ver esto me puse manos a la obra para averiguar un poco sobre lo que estaba pasando. Encontré algo acerca de los rootkit para linux, concretamente el chkrootkit-0.48 que me dió la siguiente salida: SNIP Podeis imaginar lo que hice con el ssh despues de ver el .bash_history. Estoy a punto de reinstalar el sistema base o actualizarlo para recuperar los binarios que tengo modificados y terminar con el problema. Me gustaría investigar mas a parte de lo comentado hasta ahora para saber mas acerca de este tipo de ataques y por donde han entrado que es lo que me hace romperte el celebro, físicamente en este ordenador sólo estoy yo trabajando y aqui nadie lo usa porque todos son windowseros profesionales, de manera que nadie ha cojido y se ha puesto a instalar cosas raras en el sistema, no dejo a nadie del exterior que entre al server via ssh ni vnc... resumiento, que nadie toca esta máquina menos yo, y a no ser que un día me habría fumado un porro y me pusiese a hacer cosas extrañas en el sistema, luego no se como se ha podido esto petar. Me da por pensar y me acuerdo del servidor web este que tenía el windows nt server creo que se llamaba iss 2, el caso es que pude comprobar que había un gusano/troyano como se llame que infectaba el mismo y abría el netbios de manera que podías tener acceso a los datos del infectado, que el mismo a su vez infectaba a otros servidores similares con el mismo fallo. Comento esto, porque pienso que al apache le ha pasado algo parecido, si no me explico como carajo han conseguido entrar y borrar el .bash_history, pero esto es sólo una teoría mia. A ver si alguien puede indicarme que otras cosas puedo comprobar antes de reinstalar los binarios infectados. - ¿ Donde estan instalados los ficheros del f0n este ? ¿ Como se ha infectado mi máquina ? ¿ Que otra información debería comprobar antes de reparar ? Espero que este post sirva de interes para aquellos que lo consideren y colaboren a saber el porqué :-) Salu2. Francisco, ésto es lo que yo haría: Si el equipo es un server en producción, arrancarle el cable de alimentación. Existe varios puntos de vista aquí, algunos dicen que si hay algo en memoria, al hacerlo perderás datos de como está funcionando el ataque, desde mi punto de vista, no tiene ningún sentido hacer un análisis sobre un servidor comprometido, funcionando. Es jugar una ruleta rusa de que puedan entrar y crear aún algún mal peor. Crear una imagen del disco comprometido (o los discos), le ideal es hacer más de uno, para que puedas hacer las pruebas, para que puedas presentar en el momento de hacer la denuncia y el original. De todos modos los forenses deberían hacer sus propias copias para el análisis. Aunque no lo intenté nunca, puedes congelar la memoria del equipo ni bien la desconectas de la alimentación. Existen aerosoles para hacerlo, y luego tendrás que averiguar cual es la mejor manera de mantenerlo para poder dárselas al forense, tal vez puedan sacar algo de información extra de ahí. En este punto tel vez alguien te pueda asesorar mejor que yo para saber cuanta información se puede sacar de ahí, y cuanto tiempo dispones ántes de que lo que tenga en memoria sea irrecuperable. Una vez trabajando con una imagen, en un entorno seguro y separado de la red de la empresa, puedes probar con otro programa para sacar algo más de info. rkhunter es otro buen programa para detectar rootkits en linux. Aunque puede que los logs estén modificados, puedes mirar por ahí a ver que encuentras. Examinar los binarios que crees comprometidos, desde un editor, desensamblador, ejecutarlos con strace y ltrace, etc, para ver que ejecuta. Buscar si las versiones de los servicios que tienes funcionando, tienen alguna vulnerabilidad. Es importante en el momento que pongas el nuevo server a funcionar, que no contenga los mismos errores, ya que el atacante puede volver a usarlos para entrar. Por último, te diría de ir documentando cada cosa que haces, desde lo más pequeño hasta lo más importante, puede resultar muy útil. Y algo que vas a necesitar a lo largo del camino; mucha paciencia y un poco de fortuna. Saludos y suerte! Martín -- To UNSUBSCRIBE
Re: Rootkit.
Francisco Calero escribió: Hola a todos, hace ya un tiempo me pasó que la contraseña de root cambió sin que nadie (aparentemente) lo hiciese, de maneara que no le di importancia porque estaba con otros haceres, de manera que restauré la clave de root y a funcionar. Hace un par de semanas me pasó lo mismo, con lo que mi sospechas fueron a mayor grado. Empecé a investigar un poco y cuando vi el .bash_history del usuario root tenía sólo 3 líneas. su password rm .bash_history Verdaderamente se puede decir que son tres comandos muy comprometidos si tienes la clave de root (información que no se como la han conseguido). El caso es que despues de ver esto me puse manos a la obra para averiguar un poco sobre lo que estaba pasando. Encontré algo acerca de los rootkit para linux, concretamente el chkrootkit-0.48 que me dió la siguiente salida: r...@calculon:/home/hipoter/chkrootkit-0.48# cat salida ROOTDIR is `/' Checking `amd'... not found Checking `basename'... not infected Checking `biff'... not found Checking `chfn'... not infected Checking `chsh'... not infected Checking `cron'... not infected Checking `crontab'... not infected Checking `date'... not infected Checking `du'... not infected Checking `dirname'... not infected Checking `echo'... not infected Checking `egrep'... not infected Checking `env'... not infected Checking `find'... not infected Checking `fingerd'... not found Checking `gpm'... not found Checking `grep'... not infected Checking `hdparm'... not found Checking `su'... not infected Checking `ifconfig'... INFECTED Checking `inetd'... not tested Checking `inetdconf'... not infected Checking `identd'... not found Checking `init'... not infected Checking `killall'... not infected Checking `ldsopreload'... not infected Checking `login'... not infected Checking `ls'... not infected Checking `lsof'... not infected Checking `mail'... not found Checking `mingetty'... not found Checking `netstat'... not infected Checking `named'... not found Checking `passwd'... not infected Checking `pidof'... not infected Checking `pop2'... not found Checking `pop3'... not found Checking `ps'... not infectedChecking `tcpd'... not infected Checking `tcpdump'... not infected Checking `top'... not infected Checking `telnetd'... not found Checking `timed'... not found Checking `traceroute'... not infected Checking `vdir'... not infected Checking `w'... not infected Checking `write'... not infected Checking `aliens'... no suspect files Searching for sniffer's logs, it may take a while... nothing found Searching for HiDrootkit's default dir... nothing found Searching for t0rn's default files and dirs... nothing found Searching for t0rn's v8 defaults... Possible t0rn v8 \(or variation\) rootkit installed Searching for Lion Worm default files and dirs... nothing found Searching for RSHA's default files and dir... nothing found Searching for RH-Sharpe's default files... nothing found Searching for Ambient's rootkit (ark) default files and dirs... nothing found Searching for suspicious files and dirs, it may take a while... /usr/lib/xulrunner/.autoreg /usr/lib/iceweasel/.autoreg /lib/init/rw/.ramfs Searching for LPD Worm files and dirs... nothing found Searching for Ramen Worm files and dirs... nothing found Searching for Maniac files and dirs... nothing found Searching for RK17 files and dirs... nothing found Searching for Ducoci rootkit... nothing found Searching for Adore Worm... nothing found Searching for ShitC Worm... nothing found Searching for Omega Worm... nothing found Searching for Sadmind/IIS Worm... nothing found Searching for MonKit... nothing found Searching for Showtee... Warning: Possible Showtee Rootkit installed Searching for OpticKit... nothing found Searching for T.R.K... nothing found Searching for Mithra... nothing found Searching for LOC rootkit... nothing found Searching for Romanian rootkit... /usr/include/file.h /usr/include/proc.h Searching for Suckit rootkit... nothing found Searching for Volc rootkit... nothing found Searching for Gold2 rootkit... nothing found Searching for TC2 Worm default files and dirs... nothing found Searching for Anonoying rootkit default files and dirs... nothing found Searching for ZK rootkit default files and dirs... nothing found Searching for ShKit rootkit default files and dirs... nothing found Searching for AjaKit rootkit default files and dirs... nothing found Searching for zaRwT rootkit default files and dirs... nothing found Searching for Madalin rootkit default files... nothing found Searching for Fu rootkit default files... nothing found Searching for ESRK rootkit default files... nothing found Searching for rootedoor... nothing found Searching for ENYELKM rootkit default files... nothing found Searching for common ssh-scanners default files... /var/tmp/._/alfa/ssh-scan /var/tmp/._/alfa/pscan2 /var/tmp/._/alfa/vuln.txt /var/tmp/scan/ssh-scan
Re: Rootkit.
lun, 09-02-2009 a las 13:17 +0100, Javier escribió: Francisco Calero escribió: - ¿ Donde estan instalados los ficheros del f0n este ? ¿ Como se ha infectado mi máquina ? ¿ Que otra información debería comprobar antes de reparar ? Espero que este post sirva de interes para aquellos que lo consideren y colaboren a saber el porqué :-) No entiendo mucho de seguridad, así que no puedo ser de gran ayuda. Pero si te digo que internet parece estar infectado de gusanos y troyanos porque en los logs de mi firewall aparecen todos los días cientos de intentos de conexión de tipo netbios. Vienen de todas partes, con lo que parece ser algo masivo muy extendido. Lo que no entiendo es como algo del Windows se ha podido meter en tu ordenador. La unica forma que se me ocurre es un fallo de seguridad en algún servicio (porque usarás firewall, ¿no?) que permitiera el escalado hasta root. O eso o tienes una contraseña de tipo 1234, jeje. Tampoco descartes que se hayan podido meter físicamente. Y cualquiera que parezca que es un currante más puede que sea en realidad un lobo desfrazado de cordero... hay hackers en todas partes y no siempre se les nota. ;) No, no tengo firewall, simplemente dejo los servicios que necesito rulando, nunca he tenido problemas hasta lo ya mencionado. dices: Lo que no entiendo es como algo del Windows se ha podido meter en tu ordenador. ¿cuando he dicho yo eso? Quien sea me libre de ese mal hombre :-). Si, tienes razón internete está petado de gusanos y demás historias que están contínuamente dando la bara, lo que siempre suele ocurrir es que estos que dan la bara no encuentran lo que buscan de manera que los ataques son inútiles, pero si alguno encuentra lo que busca, pues es lo que comentaba del iss2, netbios a tope. Salu2. -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: Rootkit.
El lun, 09-02-2009 a las 12:15 +0100, Francisco Calero escribió: Hola a todos, hace ya un tiempo me pasó que la contraseña de root cambió sin que nadie (aparentemente) lo hiciese, de maneara que no le di importancia porque estaba con otros haceres, de manera que restauré la clave de root y a funcionar. Hace un par de semanas me pasó lo mismo, con lo que mi sospechas fueron a mayor grado. Empecé a investigar un poco y cuando vi el .bash_history del usuario root tenía sólo 3 líneas. su password rm .bash_history Verdaderamente se puede decir que son tres comandos muy comprometidos si tienes la clave de root (información que no se como la han conseguido). El caso es que despues de ver esto me puse manos a la obra para averiguar un poco sobre lo que estaba pasando. Encontré algo acerca de los rootkit para linux, concretamente el chkrootkit-0.48 que me dió la siguiente salida: r...@calculon:/home/hipoter/chkrootkit-0.48# cat salida ROOTDIR is `/' Checking `amd'... not found Checking `basename'... not infected Checking `biff'... not found Checking `chfn'... not infected Checking `chsh'... not infected Checking `cron'... not infected Checking `crontab'... not infected Checking `date'... not infected Checking `du'... not infected Checking `dirname'... not infected Checking `echo'... not infected Checking `egrep'... not infected Checking `env'... not infected Checking `find'... not infected Checking `fingerd'... not found Checking `gpm'... not found Checking `grep'... not infected Checking `hdparm'... not found Checking `su'... not infected Checking `ifconfig'... INFECTED Checking `inetd'... not tested Checking `inetdconf'... not infected Checking `identd'... not found Checking `init'... not infected Checking `killall'... not infected Checking `ldsopreload'... not infected Checking `login'... not infected Checking `ls'... not infected Checking `lsof'... not infected Checking `mail'... not found Checking `mingetty'... not found Checking `netstat'... not infected Checking `named'... not found Checking `passwd'... not infected Checking `pidof'... not infected Checking `pop2'... not found Checking `pop3'... not found Checking `ps'... not infectedChecking `tcpd'... not infected Checking `tcpdump'... not infected Checking `top'... not infected Checking `telnetd'... not found Checking `timed'... not found Checking `traceroute'... not infected Checking `vdir'... not infected Checking `w'... not infected Checking `write'... not infected Checking `aliens'... no suspect files Searching for sniffer's logs, it may take a while... nothing found Searching for HiDrootkit's default dir... nothing found Searching for t0rn's default files and dirs... nothing found Searching for t0rn's v8 defaults... Possible t0rn v8 \(or variation\) rootkit installed Searching for Lion Worm default files and dirs... nothing found Searching for RSHA's default files and dir... nothing found Searching for RH-Sharpe's default files... nothing found Searching for Ambient's rootkit (ark) default files and dirs... nothing found Searching for suspicious files and dirs, it may take a while... /usr/lib/xulrunner/.autoreg /usr/lib/iceweasel/.autoreg /lib/init/rw/.ramfs Searching for LPD Worm files and dirs... nothing found Searching for Ramen Worm files and dirs... nothing found Searching for Maniac files and dirs... nothing found Searching for RK17 files and dirs... nothing found Searching for Ducoci rootkit... nothing found Searching for Adore Worm... nothing found Searching for ShitC Worm... nothing found Searching for Omega Worm... nothing found Searching for Sadmind/IIS Worm... nothing found Searching for MonKit... nothing found Searching for Showtee... Warning: Possible Showtee Rootkit installed Searching for OpticKit... nothing found Searching for T.R.K... nothing found Searching for Mithra... nothing found Searching for LOC rootkit... nothing found Searching for Romanian rootkit... /usr/include/file.h /usr/include/proc.h Searching for Suckit rootkit... nothing found Searching for Volc rootkit... nothing found Searching for Gold2 rootkit... nothing found Searching for TC2 Worm default files and dirs... nothing found Searching for Anonoying rootkit default files and dirs... nothing found Searching for ZK rootkit default files and dirs... nothing found Searching for ShKit rootkit default files and dirs... nothing found Searching for AjaKit rootkit default files and dirs... nothing found Searching for zaRwT rootkit default files and dirs... nothing found Searching for Madalin rootkit default files... nothing found Searching for Fu rootkit default files... nothing found Searching for ESRK rootkit default files... nothing found Searching for rootedoor... nothing found Searching for ENYELKM rootkit default files... nothing found Searching
Re: Rootkit.
[...] No, no tengo firewall, simplemente dejo los servicios que necesito rulando [...] El cortafuegos (firewall) es un elemento importantísimo para la seguridad de cualquier equipo conectado a una red. En el caso de Internet, es simplemente inconcebible la seguridad sin tener un cortafuegos (ver los enlaces de abajo)... http://es.wikipedia.org/wiki/Cortafuegos_(inform%C3%A1tica) http://www.conocimientosweb.net/dt/article2660.html El kernel Linux trae ya instalado un excelente filtro entrada-salida de paquetes que puede ser configurado para funcionar como cortafuegos o proxy, llamado Iptables. Hay varios cortafuegos disponibles para GNU/Linux que hacen precisamente eso, servir de interfaces de configuración para Iptables; por ejemplo Firestarter, Shoreline Firewall más conocido como Shorewall, Guarddog (muy bueno), etc, algunos de ellos disponibles en repositorios (los mencionados). Los siguientes enlaces son para hacer la instalación de cada uno. (Para ver cuál es el más conviene a tus necesidades puedes leer la documentación de cada uno) Shorewall... http://www.debianhelp.co.uk/shorewall.htm EGuarddog... http://newbiedoc.berlios.de/wiki/Setting_up_a_personal_firewall_on_Debian_using_Guarddog Firestarter... http://www.debianadmin.com/secure-ubuntu-desktop-using-firestarter-firewall.html -- Saludos, Mauricio J. Adonis C. ___ Usuario Linux # 482032 -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: Rootkit.
Francisco Calero escribió: No, no tengo firewall, simplemente dejo los servicios que necesito rulando, nunca he tenido problemas hasta lo ya mencionado. Insisto, no soy un experto en seguridad, pero bueno, si te sirve... Veo que tienes Gnome corriendo. Gnome abre muchos programas, algunos applets, y otras cosas que se conectan a internet. Como te dicen en algún mensaje más abajo, cuantos más servicios tienes corriendo, más problemas de seguridad puedes encontrarte. Pero resulta imposible controlar todos los agujeros de seguridad de tantos programas como carga Gnome. A veces salen agujeros en programas y librerías de las más insospechadas. Por eso, un firewall, para un ordenador de escritorio, es ideal, porque puede quitarte algunos problemas. No necesitas nada complicado. Yo tengo el Firestarter, un firewall para Gnome muy fácil de usar. dices: Lo que no entiendo es como algo del Windows se ha podido meter en tu ordenador. ¿cuando he dicho yo eso? Quien sea me libre de ese mal hombre :-). Ha sido una confusión... como has hablado de Windows y sus troyanos... Si, tienes razón internete está petado de gusanos y demás historias que están contínuamente dando la bara, lo que siempre suele ocurrir es que estos que dan la bara no encuentran lo que buscan de manera que los ataques son inútiles, pero si alguno encuentra lo que busca, pues es lo que comentaba del iss2, netbios a tope. A veces se han encontrado agujeros en Samba, y samba escucha por esos puertos... Además, veo que lo tienes enchufado, así que puede que SI encuentren esos gusanos algo, aunque no puedan infectarte. ;) Otra cosa que se me ha ocurrido pensar, ¿no habrás ejecutado un troyano? Hay troyanos muy listos, se me ocurre que este te haya pedido la cuenta del administrador simulando ser gksu (tu no te habrías dado ni cuenta pensando que es algo del sistema). Saludos. -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: Rootkit.
El lun, 09-02-2009 a las 13:17 +0100, Javier escribió: Francisco Calero escribió: - ¿ Donde estan instalados los ficheros del f0n este ? ¿ Como se ha infectado mi máquina ? ¿ Que otra información debería comprobar antes de reparar ? Espero que este post sirva de interes para aquellos que lo consideren y colaboren a saber el porqué :-) No entiendo mucho de seguridad, así que no puedo ser de gran ayuda. Pero si te digo que internet parece estar infectado de gusanos y troyanos porque en los logs de mi firewall aparecen todos los días cientos de intentos de conexión de tipo netbios. Vienen de todas partes, con lo que parece ser algo masivo muy extendido. Lo que no entiendo es como algo del Windows se ha podido meter en tu ordenador. La unica forma que se me ocurre es un fallo de seguridad en algún servicio (porque usarás firewall, ¿no?) que permitiera el escalado hasta root Quisieras, por favor, aclarar, a que te referis con firewall? O eso o tienes una contraseña de tipo 1234, jeje. Tampoco descartes que se hayan podido meter físicamente. Y cualquiera que parezca que es un currante más puede que sea en realidad un lobo desfrazado de cordero... hay hackers en todas partes y no siempre se les nota. ;) -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: Rootkit.
El lun, 09-02-2009 a las 10:46 -0430, Kellerman Rivero Suarez escribió: El lun, 09-02-2009 a las 12:15 +0100, Francisco Calero escribió: Hola a todos, hace ya un tiempo me pasó que la contraseña de root cambió sin que nadie (aparentemente) lo hiciese, de maneara que no le di importancia porque estaba con otros haceres, de manera que restauré la clave de root y a funcionar. Hace un par de semanas me pasó lo mismo, con lo que mi sospechas fueron a mayor grado. Empecé a investigar un poco y cuando vi el .bash_history del usuario root tenía sólo 3 líneas. Estoy a punto de reinstalar el sistema base o actualizarlo para recuperar los binarios que tengo modificados y terminar con el problema. Me gustaría investigar mas a parte de lo comentado hasta ahora para saber mas acerca de este tipo de ataques y por donde han entrado que es lo que me hace romperte el celebro, físicamente en este ordenador sólo estoy yo trabajando y aqui nadie lo usa porque todos son windowseros profesionales, de manera que nadie ha cojido y se ha puesto a instalar cosas raras en el sistema, no dejo a nadie del exterior que entre al server via ssh ni vnc... resumiento, que nadie toca esta máquina menos yo, y a no ser que un día me habría fumado un porro y me pusiese a hacer cosas extrañas en el sistema, luego no se como se ha podido esto petar. Me da por pensar y me acuerdo del servidor web este que tenía el windows nt server creo que se llamaba iss 2, el caso es que pude comprobar que había un gusano/troyano como se llame que infectaba el mismo y abría el netbios de manera que podías tener acceso a los datos del infectado, que el mismo a su vez infectaba a otros servidores similares con el mismo fallo. Comento esto, porque pienso que al apache le ha pasado algo parecido, si no me explico como carajo han conseguido entrar y borrar el .bash_history, pero esto es sólo una teoría mia. A ver si alguien puede indicarme que otras cosas puedo comprobar antes de reinstalar los binarios infectados. - ¿ Donde estan instalados los ficheros del f0n este ? ¿ Como se ha infectado mi máquina ? ¿ Que otra información debería comprobar antes de reparar ? Espero que este post sirva de interes para aquellos que lo consideren y colaboren a saber el porqué :-) Salu2. Especificamente hace algun tiempo lei, el funcionamiento de los rootkits en linux, ahora bien raramente se usa la vulnerabilidad de un binario para subir y escalar privilegios, asi que empiezo a responder tus preguntas. 1) ¿Donde estan los archivos del rootkit? R: El rootkit, seguramente sobreescribio los archivos infectados a traves de algun exploit que explotaba una vulnerabilidad en un servicio. Asi que ya con archivos con los archivos comprometidos (probablemente aquellos con el setuid de root) ya no hacen falta los archivos originales si es que alguna vez los hubo. 2) ¿Como se ha infectado tu maquina? R: Si estas seguro que nadie fisicamente tuvo acceso a ella, seguramente haya sido por algun servicio corriendo, he alli la importancia de desactivar los servicios que no usemos y actualizar contra bugs y fallos descubiertos los que tenemos funcionando. Seguramente un exploit se aprovecho de algun servicio vulnerable. 3) ¿Que deberias hacer antes de reinstalar los binarios? R: Lo mas sensato, seria verificar la tabla de llamadas al sistema, por que ese es el primer objetivo de un rootkit.. al modificar la tabla de llamadas al sistema se pueden ocultar procesos, o hasta conexiones de red. Asi que deberias hacerte de un buen anti-rootkit que te ayude en esta labor. Es posible que mencionaras algun buen anti-rootkit? por favor. PD : Espero te haya servido mi respuesta para aclarar tus dudas. -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Rootkit-2.
Bueno, ya hemos conocido el problema. Ahora si os parece voy acortando caminos por los cuales han podido entrar. A ver... NO se trata de una empresa especializada en servicios de internet luego el daño no sería una gran perdida.Se trata de una empresa de programación e informatica en general,tengo mis trabajos en php, java, etc..(los cuales hago backup de vez encuando) el ordenador infectado lo tengo con salida a internet mediante un router, el cual esta configurado en multipuesto, y que a su misma vez tengo creadas varias politicas nat hacia varios puertos de mi máquina, luego el camino se estrecha un poco como quien dice. Por suerte acabo de revisar que el password del router está intacto, y la configuración sigue siendo la misma, ya que me ha dado por pensar que podría tener un sniffer también por ahí suelto, aunque creo que nunca lo voy saber realmente. Lamentablemente los puertos que tengo puestos son: 80/tcpopen http 22/tpcopen ssh 21/tpcopen ftp 1000/tcp open webmin 5900/tcp open vnc No podían ser otros servicios :-) nmap -A localhost Starting Nmap 4.11 ( http://www.insecure.org/nmap/ ) at 2009-02-09 17:44 CET Interesting ports on localhost (127.0.0.1): Not shown: 1672 closed ports PORT STATE SERVICE VERSION 22/tcpopen ssh OpenSSH 4.3p2 Debian 9etch3 (protocol 2.0) 80/tcpopen httpApache httpd 2.2.3 ((Debian) PHP/5.2.0-8 +etch13) 139/tcp open netbios-ssn Samba smbd 3.X (workgroup: TRABAJO) 445/tcp open netbios-ssn Samba smbd 3.X (workgroup: TRABAJO) 631/tcp open ipp CUPS 1.2 3306/tcp open mysql MySQL 5.0.32-Debian_7etch8-log 5900/tcp open vnc VNC (protocol 3.7) 1/tcp open httpWebmin httpd ¿Me podeis indicar donde puedo checkear los bug de estas versiones? Salu2. -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: Rootkit.
consultores1 escribió: Quisieras, por favor, aclarar, a que te referis con firewall? Cortafuegos en español. Busca en la wikipedia que lo explica muy bien. Saludos. -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: Rootkit-2.
El día 9 de febrero de 2009 13:59, Francisco Calero p...@inproda.es escribió: Bueno, ya hemos conocido el problema. Ahora si os parece voy acortando caminos por los cuales han podido entrar. A ver... NO se trata de una empresa especializada en servicios de internet luego el daño no sería una gran perdida.Se trata de una empresa de programación e informatica en general,tengo mis trabajos en php, java, etc..(los cuales hago backup de vez encuando) el ordenador infectado lo tengo con salida a internet mediante un router, el cual esta configurado en multipuesto, y que a su misma vez tengo creadas varias politicas nat hacia varios puertos de mi máquina, luego el camino se estrecha un poco como quien dice. Por suerte acabo de revisar que el password del router está intacto, y la configuración sigue siendo la misma, ya que me ha dado por pensar que podría tener un sniffer también por ahí suelto, aunque creo que nunca lo voy saber realmente. Lamentablemente los puertos que tengo puestos son: 80/tcpopen http 22/tpcopen ssh 21/tpcopen ftp 1000/tcp open webmin 5900/tcp open vnc No podían ser otros servicios :-) nmap -A localhost Starting Nmap 4.11 ( http://www.insecure.org/nmap/ ) at 2009-02-09 17:44 CET Interesting ports on localhost (127.0.0.1): Not shown: 1672 closed ports PORT STATE SERVICE VERSION 22/tcpopen ssh OpenSSH 4.3p2 Debian 9etch3 (protocol 2.0) 80/tcpopen httpApache httpd 2.2.3 ((Debian) PHP/5.2.0-8 +etch13) 139/tcp open netbios-ssn Samba smbd 3.X (workgroup: TRABAJO) 445/tcp open netbios-ssn Samba smbd 3.X (workgroup: TRABAJO) 631/tcp open ipp CUPS 1.2 3306/tcp open mysql MySQL 5.0.32-Debian_7etch8-log 5900/tcp open vnc VNC (protocol 3.7) 1/tcp open httpWebmin httpd ¿Me podeis indicar donde puedo checkear los bug de estas versiones? Salu2. -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org http://www.google.com/custom?hl=escof=AH%3Aleft%3BS%3Ahttp%3A%2F%2Fcve.mitre.org%3BL%3Ahttp%3A%2F%2Fcve.mitre.org%2Fimages%2Fgoogle_cvelogo.jpg%3Bdomains=cve.mitre.orgq=openSSH+4.3+debianbtnG=Buscarsitesearch=cve.mitre.org Espero que te sirva. Un abrazo. -- §~^Calabaza^~§ from Villa Elisa, Paraguay -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: Rootkit-2.
El lun, 09-02-2009 a las 14:13 -0300, Calabaza escribió: El día 9 de febrero de 2009 13:59, Francisco Calero p...@inproda.es escribió: Bueno, ya hemos conocido el problema. Ahora si os parece voy acortando caminos por los cuales han podido entrar. A ver... NO se trata de una empresa especializada en servicios de internet luego el daño no sería una gran perdida.Se trata de una empresa de programación e informatica en general,tengo mis trabajos en php, java, etc..(los cuales hago backup de vez encuando) el ordenador infectado lo tengo con salida a internet mediante un router, el cual esta configurado en multipuesto, y que a su misma vez tengo creadas varias politicas nat hacia varios puertos de mi máquina, luego el camino se estrecha un poco como quien dice. Por suerte acabo de revisar que el password del router está intacto, y la configuración sigue siendo la misma, ya que me ha dado por pensar que podría tener un sniffer también por ahí suelto, aunque creo que nunca lo voy saber realmente. Lamentablemente los puertos que tengo puestos son: 80/tcpopen http 22/tpcopen ssh 21/tpcopen ftp 1000/tcp open webmin 5900/tcp open vnc No podían ser otros servicios :-) nmap -A localhost Starting Nmap 4.11 ( http://www.insecure.org/nmap/ ) at 2009-02-09 17:44 CET Interesting ports on localhost (127.0.0.1): Not shown: 1672 closed ports PORT STATE SERVICE VERSION 22/tcpopen ssh OpenSSH 4.3p2 Debian 9etch3 (protocol 2.0) 80/tcpopen httpApache httpd 2.2.3 ((Debian) PHP/5.2.0-8 +etch13) 139/tcp open netbios-ssn Samba smbd 3.X (workgroup: TRABAJO) 445/tcp open netbios-ssn Samba smbd 3.X (workgroup: TRABAJO) 631/tcp open ipp CUPS 1.2 3306/tcp open mysql MySQL 5.0.32-Debian_7etch8-log 5900/tcp open vnc VNC (protocol 3.7) 1/tcp open httpWebmin httpd ¿Me podeis indicar donde puedo checkear los bug de estas versiones? Salu2. -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org http://www.google.com/custom?hl=escof=AH%3Aleft%3BS%3Ahttp%3A%2F%2Fcve.mitre.org%3BL%3Ahttp%3A%2F%2Fcve.mitre.org%2Fimages%2Fgoogle_cvelogo.jpg%3Bdomains=cve.mitre.orgq=openSSH+4.3+debianbtnG=Buscarsitesearch=cve.mitre.org Espero que te sirva. Un abrazo. -- §~^Calabaza^~§ from Villa Elisa, Paraguay Interesante link, es para pararse un buén rato. Gracias. Salu2 -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: Rootkit-2.
El lun, 09-02-2009 a las 17:59 +0100, Francisco Calero escribió: Bueno, ya hemos conocido el problema. Ahora si os parece voy acortando caminos por los cuales han podido entrar. A ver... NO se trata de una empresa especializada en servicios de internet luego el daño no sería una gran perdida.Se trata de una empresa de programación e informatica en general,tengo mis trabajos en php, java, etc..(los cuales hago backup de vez encuando) el ordenador infectado lo tengo con salida a internet mediante un router, el cual esta configurado en multipuesto, y que a su misma vez tengo creadas varias politicas nat hacia varios puertos de mi máquina, luego el camino se estrecha un poco como quien dice. Por suerte acabo de revisar que el password del router está intacto, y la configuración sigue siendo la misma, ya que me ha dado por pensar que podría tener un sniffer también por ahí suelto, aunque creo que nunca lo voy saber realmente. Lamentablemente los puertos que tengo puestos son: 80/tcpopen http 22/tpc open ssh 21/tpc open ftp 1000/tcp open webmin 5900/tcp open vnc No podían ser otros servicios :-) nmap -A localhost Starting Nmap 4.11 ( http://www.insecure.org/nmap/ ) at 2009-02-09 17:44 CET Interesting ports on localhost (127.0.0.1): Not shown: 1672 closed ports PORT STATE SERVICE VERSION 22/tcpopen ssh OpenSSH 4.3p2 Debian 9etch3 (protocol 2.0) 80/tcpopen httpApache httpd 2.2.3 ((Debian) PHP/5.2.0-8 +etch13) 139/tcp open netbios-ssn Samba smbd 3.X (workgroup: TRABAJO) 445/tcp open netbios-ssn Samba smbd 3.X (workgroup: TRABAJO) 631/tcp open ipp CUPS 1.2 3306/tcp open mysql MySQL 5.0.32-Debian_7etch8-log 5900/tcp open vnc VNC (protocol 3.7) 1/tcp open httpWebmin httpd ¿Me podeis indicar donde puedo checkear los bug de estas versiones? Salu2. Con googlear un poco, puedes colocar palabras claves como servicio version bug y tal vez te salgan algunos bugs descubiertos para los servicios que posees, por ejemplo supongamos que tiene el apache 2.xx con buscar en google: apache 2 xx bug pudieras conseguir infinidad de bugs, luego solo falta q leas como se corrigen y ya! -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: Rootkit.
El lun, 09-02-2009 a las 17:40 +0100, Javier escribió: consultores1 escribió: Quisieras, por favor, aclarar, a que te referis con firewall? Cortafuegos en español. Busca en la wikipedia que lo explica muy bien. Saludos. Lo que te pregunto es que, a que te refieres tu, cuando utilizas la palabra firewall; no estoy preguntando lo que es un firewall! Y te pregunto, por que esa expresion qe estas usando, es tipica de Windows y no de Debian, dado que Debian no abre puertos innecesarios y basicamente no requiere corta fuegos; ademas controla las conecciones a bajo nivel con Iptables, con paquetes graficos como Firestarter, GuarDog, Bastille y otros. Ademas, hay paquetes como Portsentry, que tambien sirven para el control de conecciones y puertos. Y para terminar, agradeceria que se entienda de una vez, que escribir buscalo en Google, *NO* es ninguna ayuda; solo demuestra, o la ignorancia del que escribe o la incapacidad para ayudar. gracias. PD: Se perfectamente que la ayuda en esta lista es totalmente voluntaria y que no se espera retribucion alguna. -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: Rootkit-2.
El lun, 09-02-2009 a las 17:59 +0100, Francisco Calero escribió: Bueno, ya hemos conocido el problema. Ahora si os parece voy acortando caminos por los cuales han podido entrar. A ver... NO se trata de una empresa especializada en servicios de internet luego el daño no sería una gran perdida.Se trata de una empresa de programación e informatica en general,tengo mis trabajos en php, java, etc..(los cuales hago backup de vez encuando) el ordenador infectado lo tengo con salida a internet mediante un router, el cual esta configurado en multipuesto, y que a su misma vez tengo creadas varias politicas nat hacia varios puertos de mi máquina, luego el camino se estrecha un poco como quien dice. Por suerte acabo de revisar que el password del router está intacto, y la configuración sigue siendo la misma, ya que me ha dado por pensar que podría tener un sniffer también por ahí suelto, aunque creo que nunca lo voy saber realmente. Lamentablemente los puertos que tengo puestos son: 80/tcpopen http 22/tpc open ssh 21/tpc open ftp 1000/tcp open webmin 5900/tcp open vnc No podían ser otros servicios :-) nmap -A localhost Starting Nmap 4.11 ( http://www.insecure.org/nmap/ ) at 2009-02-09 17:44 CET Interesting ports on localhost (127.0.0.1): Not shown: 1672 closed ports PORT STATE SERVICE VERSION 22/tcpopen ssh OpenSSH 4.3p2 Debian 9etch3 (protocol 2.0) 80/tcpopen httpApache httpd 2.2.3 ((Debian) PHP/5.2.0-8 +etch13) 139/tcp open netbios-ssn Samba smbd 3.X (workgroup: TRABAJO) 445/tcp open netbios-ssn Samba smbd 3.X (workgroup: TRABAJO) 631/tcp open ipp CUPS 1.2 3306/tcp open mysql MySQL 5.0.32-Debian_7etch8-log 5900/tcp open vnc VNC (protocol 3.7) 1/tcp open httpWebmin httpd ¿Me podeis indicar donde puedo checkear los bug de estas versiones? Te sugiero, que si vas a hacer una autopsia, primero te organices por areas; descubrieron tu clave; como viaja la clave, usas ssh, como? entras como root o usuario?. Que servicios tienes, veo que usas Samba, tienes la misma clave para root y Samba? Que tan segura es tu clave, usa el paquete John the Ripper, para probarla. Podrias hacer varias copias de tu DD, como te sugirieron y enviar 1 al equipo de seguridad, si es que se determina que se trata de alguna vulnerabilidad. En fin, deberias tomartela mas calmado y a su vez ordenar y escribir todo. hasta pronto. -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: Rootkit.
El lun, 09-02-2009 a las 12:20 -0800, consultores1 escribió: El lun, 09-02-2009 a las 17:40 +0100, Javier escribió: consultores1 escribió: Quisieras, por favor, aclarar, a que te referis con firewall? Cortafuegos en español. Busca en la wikipedia que lo explica muy bien. Saludos. Lo que te pregunto es que, a que te refieres tu, cuando utilizas la palabra firewall; no estoy preguntando lo que es un firewall! Y te pregunto, por que esa expresion qe estas usando, es tipica de Windows y no de Debian, dado que Debian no abre puertos innecesarios y basicamente no requiere corta fuegos; ademas controla las conecciones a bajo nivel con Iptables, con paquetes graficos como Firestarter, GuarDog, Bastille y otros. Ademas, hay paquetes como Portsentry, que tambien sirven para el control de conecciones y puertos. Y para terminar, agradeceria que se entienda de una vez, que escribir buscalo en Google, *NO* es ninguna ayuda; solo demuestra, o la ignorancia del que escribe o la incapacidad para ayudar. gracias. PD: Se perfectamente que la ayuda en esta lista es totalmente voluntaria y que no se espera retribucion alguna. Primero seria algo arriesgado afirmar que el concepto de firewall es algo propio windows, seria como decir que el el protocolo TCP/IP tambien lo es, el firewall es un tecnologia independiente de la arquitectura, por lo menos en lo que se refiere al concepto. Segundo lamentablemente debian si abre puertos innecesarios, te explico por que, por lo menos yo no uso el ssh, pero mi instalacion de debian lo trae corriendo como servicio, un puerto abierto con un servicio potencialmente vulnerable, si yo no lo uso, se convierte en innecesario. Asi que en teoria determinar que alguna distro de linux no abre ningun puerto seria una realizada por ti mismo desde un LFS (Linux from Scratch).. Segundo, indicas que debian no requiere corta fuegos.. Acaso no sabes que Iptables ya es corta fuego de por si? Y por ultimo el punto de buscar en google, te imaginas la saturacion de la listas de correo si todos los usuarios preguntan estupideces sin antes investigar, gracias a Google asi como a otros motores de busquedas, el usuario puede encontrar informacion de personas con el mismo problema, sin necesidad de acaparar el tiempo de la comunidad dispuesta a ayudar por las listas de correo, dedicandose está a problemas mas graves. No es incapacidad de ayudar, es disposicion de enseñar a los demas a buscar primero. -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: Rootkit.
Ah eres un listillo. Firewall es correcto en Linux. Cualquier programa de Debian puede abrir puertos innecesarios. Iptables no controla nada por defecto y permite todo, por eso hay que usar un GUI para él. Como bien dices, aquí la ayuda es voluntaria, y cada uno ayuda humildemente como puede o hasta donde sabe. Pero los listillos no son bienvenidos, porque molestan y confunden. consultores1 escribió: El lun, 09-02-2009 a las 17:40 +0100, Javier escribió: consultores1 escribió: Quisieras, por favor, aclarar, a que te referis con firewall? Cortafuegos en español. Busca en la wikipedia que lo explica muy bien. Saludos. Lo que te pregunto es que, a que te refieres tu, cuando utilizas la palabra firewall; no estoy preguntando lo que es un firewall! Y te pregunto, por que esa expresion qe estas usando, es tipica de Windows y no de Debian, dado que Debian no abre puertos innecesarios y basicamente no requiere corta fuegos; ademas controla las conecciones a bajo nivel con Iptables, con paquetes graficos como Firestarter, GuarDog, Bastille y otros. Ademas, hay paquetes como Portsentry, que tambien sirven para el control de conecciones y puertos. Y para terminar, agradeceria que se entienda de una vez, que escribir buscalo en Google, *NO* es ninguna ayuda; solo demuestra, o la ignorancia del que escribe o la incapacidad para ayudar. gracias. PD: Se perfectamente que la ayuda en esta lista es totalmente voluntaria y que no se espera retribucion alguna. -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: Rootkit.
El 9 de febrero de 2009 17:20, consultores1 consultor...@gmail.comescribió: El lun, 09-02-2009 a las 17:40 +0100, Javier escribió: consultores1 escribió: Quisieras, por favor, aclarar, a que te referis con firewall? Cortafuegos en español. Busca en la wikipedia que lo explica muy bien. Saludos. Lo que te pregunto es que, a que te refieres tu, cuando utilizas la palabra firewall; no estoy preguntando lo que es un firewall! Y te pregunto, por que esa expresion qe estas usando, es tipica de Windows y no de Debian, dado que Debian no abre puertos innecesarios y basicamente no requiere corta fuegos; ademas controla las conecciones a bajo nivel con Iptables, con paquetes graficos como Firestarter, GuarDog, Bastille y otros. Ademas, hay paquetes como Portsentry, que tambien sirven para el control de conecciones y puertos. Y para terminar, agradeceria que se entienda de una vez, que escribir buscalo en Google, *NO* es ninguna ayuda; solo demuestra, o la ignorancia del que escribe o la incapacidad para ayudar. gracias. PD: Se perfectamente que la ayuda en esta lista es totalmente voluntaria y que no se espera retribucion alguna. listmas...@lists.debian.org Bueno, me parece que la pregunta la respondes tú mismo... hay programas que sirven para configurar el netfilter de Linux de forma que pueda ser utilizado como firewall, es decir filtre los paquetes entrantes según el cirterio deseado. Los programas que son utilizados con ese fin son llamados firewalls en Linux. (La expresión firewall no es privativa de Windows, se halla en todos los sistemas operativos que realizan intercambio de paquetes de información a través de redes públicas como internet. En Linux esta función la realiza el kernel) Pedirle a alguien que busque primero en internet no es tener mala voluntad, tampoco demestra ignorancia ni incapacidad... es simplemente recordarte que el asunto debe emepazar por investigar el tema; por lo ya respondido, ¡con ese fin además, alguien se toma las molestias de subirlo a la red! ... así se evita sobrecargar la lista con preguntas respondidas una y otra vez. Por último, creo que lo que es realmente inaceptable y grave es creer que alguien tiene derecho de insultar a otro que lo único que ha hecho es recordarte lo que deberías siempre hacer antes de enviar consultas a la lista... *investigar*. Saludos. Mauricio J. Adonis C.
Re: Rootkit.
El lun, 09-02-2009 a las 22:40 +0100, Javier escribió: Ah eres un listillo. Firewall es correcto en Linux. Cualquier programa de Debian puede abrir puertos innecesarios. Iptables no controla nada por defecto y permite todo, por eso hay que usar un GUI para él. Como bien dices, aquí la ayuda es voluntaria, y cada uno ayuda humildemente como puede o hasta donde sabe. Pero los listillos no son bienvenidos, porque molestan y confunden. No tengo idea de a que te refieres con listillo, quizas podrias aclararlo? Firewall, es incorrecto en Linux, su uso es en Windows, asi como los antivirus. En Debian, si bien es cierto que hay control de trafico con Iptables y otros; no ha sido conocido como firewall, y es por eso que te pregunte que querias decir. Eso de que los listillos no son bienvenidos; pues podrias enrrollarlo y metertelo directamente en el culo; entiendes? Y te advierto que aqui termina esto para mi. Gracias. consultores1 escribió: El lun, 09-02-2009 a las 17:40 +0100, Javier escribió: consultores1 escribió: Quisieras, por favor, aclarar, a que te referis con firewall? Cortafuegos en español. Busca en la wikipedia que lo explica muy bien. Saludos. Lo que te pregunto es que, a que te refieres tu, cuando utilizas la palabra firewall; no estoy preguntando lo que es un firewall! Y te pregunto, por que esa expresion qe estas usando, es tipica de Windows y no de Debian, dado que Debian no abre puertos innecesarios y basicamente no requiere corta fuegos; ademas controla las conecciones a bajo nivel con Iptables, con paquetes graficos como Firestarter, GuarDog, Bastille y otros. Ademas, hay paquetes como Portsentry, que tambien sirven para el control de conecciones y puertos. Y para terminar, agradeceria que se entienda de una vez, que escribir buscalo en Google, *NO* es ninguna ayuda; solo demuestra, o la ignorancia del que escribe o la incapacidad para ayudar. gracias. PD: Se perfectamente que la ayuda en esta lista es totalmente voluntaria y que no se espera retribucion alguna. -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: Rootkit.
El lun, 09-02-2009 a las 18:57 -0300, Mauricio J. Adonis C. escribió: El 9 de febrero de 2009 17:20, consultores1 consultor...@gmail.com escribió: El lun, 09-02-2009 a las 17:40 +0100, Javier escribió: consultores1 escribió: Quisieras, por favor, aclarar, a que te referis con firewall? Cortafuegos en español. Busca en la wikipedia que lo explica muy bien. Saludos. Lo que te pregunto es que, a que te refieres tu, cuando utilizas la palabra firewall; no estoy preguntando lo que es un firewall! Y te pregunto, por que esa expresion qe estas usando, es tipica de Windows y no de Debian, dado que Debian no abre puertos innecesarios y basicamente no requiere corta fuegos; ademas controla las conecciones a bajo nivel con Iptables, con paquetes graficos como Firestarter, GuarDog, Bastille y otros. Ademas, hay paquetes como Portsentry, que tambien sirven para el control de conecciones y puertos. Y para terminar, agradeceria que se entienda de una vez, que escribir buscalo en Google, *NO* es ninguna ayuda; solo demuestra, o la ignorancia del que escribe o la incapacidad para ayudar. gracias. PD: Se perfectamente que la ayuda en esta lista es totalmente voluntaria y que no se espera retribucion alguna. Bueno, me parece que la pregunta la respondes tú mismo... hay programas que sirven para configurar el netfilter de Linux de forma que pueda ser utilizado como firewall, es decir filtre los paquetes entrantes según el cirterio deseado. Los programas que son utilizados con ese fin son llamados firewalls en Linux. (La expresión firewall no es privativa de Windows, se halla en todos los sistemas operativos que realizan intercambio de paquetes de información a través de redes públicas como internet. En Linux esta función la realiza el kernel) Pedirle a alguien que busque primero en internet no es tener mala voluntad, tampoco demestra ignorancia ni incapacidad... es simplemente recordarte que el asunto debe emepazar por investigar el tema; por lo ya respondido, ¡con ese fin además, alguien se toma las molestias de subirlo a la red! ... así se evita sobrecargar la lista con preguntas respondidas una y otra vez. Por último, creo que lo que es realmente inaceptable y grave es creer que alguien tiene derecho de insultar a otro que lo único que ha hecho es recordarte lo que deberías siempre hacer antes de enviar consultas a la lista... *investigar*. Hola Desde mi perspectiva, tenemos 2 fuentes de informacion mucho mas apropiadas, las man y los .doc; ambas estan instaladas por defecto en el SO. En internet, generalmente se encuentran miles de referencias, pero o son obsoletas, o son confusas; asi que me parece que se desperdician los esfuerzos hechos para crear las man y los .doc que generalmente son especificas. Saludos. Mauricio J. Adonis C. -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: Rootkit.
Aqui el ignorante eres tu, la palabra firewall es independiente del sistema operativo, es mas realmente la palabra se ha portado al mundo del software en tiempo recientes, ya que antes existian dispositivos fisicos que actuaban de firewall. Por otro lado, la palabra antivirus tambien es independiente, es que acaso crees que linux es inmune a los virus? deberias informarte mas amigo, por que con lo que dices demuestras que eres solo un newbie en el tema, sin ofenderte, pero es la realidad.! Deberias leer mas.. creo que te sale consultar en google. -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: Rootkit.
mmm... Es mejor que dejes el tema, ya nadie le presta atencion a ignorantes y newbies como tu hermano.. lo siento pero este post ha bajado tu reputacion , demuestra tu escaso dominio del mundo linux! Preferiria que te abstuvieras de comentarios -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: Rootkit.
El lun, 09-02-2009 a las 16:38 -0430, Kellerman Rivero Suarez escribió: El lun, 09-02-2009 a las 12:20 -0800, consultores1 escribió: El lun, 09-02-2009 a las 17:40 +0100, Javier escribió: consultores1 escribió: Quisieras, por favor, aclarar, a que te referis con firewall? Cortafuegos en español. Busca en la wikipedia que lo explica muy bien. Saludos. Lo que te pregunto es que, a que te refieres tu, cuando utilizas la palabra firewall; no estoy preguntando lo que es un firewall! Ademas, hay paquetes como Portsentry, que tambien sirven para el control de conecciones y puertos. Y para terminar, agradeceria que se entienda de una vez, que escribir buscalo en Google, *NO* es ninguna ayuda; solo demuestra, o la ignorancia del que escribe o la incapacidad para ayudar. gracias. PD: Se perfectamente que la ayuda en esta lista es totalmente voluntaria y que no se espera retribucion alguna. Primero seria algo arriesgado afirmar que el concepto de firewall es algo propio windows, seria como decir que el el protocolo TCP/IP tambien lo es, el firewall es un tecnologia independiente de la arquitectura, por lo menos en lo que se refiere al concepto. Segundo lamentablemente debian si abre puertos innecesarios, te explico por que, por lo menos yo no uso el ssh, pero mi instalacion de debian lo trae corriendo como servicio, un puerto abierto con un servicio potencialmente vulnerable, si yo no lo uso, se convierte en innecesario. Asi que en teoria determinar que alguna distro de linux no abre ningun puerto seria una realizada por ti mismo desde un LFS (Linux from Scratch).. Segundo, indicas que debian no requiere corta fuegos.. Acaso no sabes que Iptables ya es corta fuego de por si? Y por ultimo el punto de buscar en google, te imaginas la saturacion de la listas de correo si todos los usuarios preguntan estupideces sin antes investigar, gracias a Google asi como a otros motores de busquedas, el usuario puede encontrar informacion de personas con el mismo problema, sin necesidad de acaparar el tiempo de la comunidad dispuesta a ayudar por las listas de correo, dedicandose está a problemas mas graves. No es incapacidad de ayudar, es disposicion de enseñar a los demas a buscar primero. Ya veo, la ignorancia y la estupidez se ha apoderado de la lista! Primero deberias aprender a leer, yo dije, Quisieras, por favor, aclarar, a que te referis con firewall?, lo que significa, que quieres decir? Tambien: Y te pregunto, por que esa expresion qe estas usando, es tipica de Windows y no de Debian, dado que Debian no abre puertos innecesarios y basicamente no requiere corta fuegos; ademas controla las conecciones a bajo nivel con Iptables, con paquetes graficos como Firestarter, GuarDog, Bastille y otros. Lo que quiere decir, que es mas usado! entiendes? Y por favor, *NO* envies correos a mi direccion privada, para eso leo la lista! entiendes? Gracias. PD: Corto aqui mismo. -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: Rootkit.
El lun, 09-02-2009 a las 20:39 -0430, Kellerman Rivero Suarez escribió: Aqui el ignorante eres tu, la palabra firewall es independiente del sistema operativo, es mas realmente la palabra se ha portado al mundo del software en tiempo recientes, ya que antes existian dispositivos fisicos que actuaban de firewall. Por otro lado, la palabra antivirus tambien es independiente, es que acaso crees que linux es inmune a los virus? deberias informarte mas amigo, por que con lo que dices demuestras que eres solo un newbie en el tema, sin ofenderte, pero es la realidad.! Deberias leer mas.. creo que te sale consultar en google. Otro mas, *NO* envies a mi correo, envia a la lista, por favor. Ignorar, significa no saber y solamente que estes desquisiado, esa palabra solo significa algo que no sabemos y de eso yo diria que todos entramos en ese grupo. Asi que no veo por que te alarmas por eso! pero si eso prefieres, te recomiendo que le pongas la queja a tu mami o a tu papi. -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: Rootkit.
consultores1 escribió: Lo que te pregunto es que, a que te refieres tu, cuando utilizas la palabra firewall; no estoy preguntando lo que es un firewall! Y te pregunto, por que esa expresion qe estas usando, es tipica de Windows y no de Debian, dado que Debian no abre puertos innecesarios y basicamente no requiere corta fuegos; ademas controla las conecciones a bajo nivel con Iptables, con paquetes graficos como Firestarter, GuarDog, Bastille y otros. Sin ánimo de ofender ni polemizar. Tomado de synaptic: _firewall_ configuration utility for KDE Guarddog is a _firewall_ configuration utility for KDE. It is aimed at two groups of users: novice to intermediate users who are not experts in TCP/IP networking and security, and those users who don't want the hassle of dealing with cryptic shell scripts and ipchains/iptables parameters. Saludos Juan -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: Rootkit.
El lun, 09-02-2009 a las 21:34 -0430, Juan Lavieri escribió: consultores1 escribió: Lo que te pregunto es que, a que te refieres tu, cuando utilizas la palabra firewall; no estoy preguntando lo que es un firewall! Y te pregunto, por que esa expresion qe estas usando, es tipica de Windows y no de Debian, dado que Debian no abre puertos innecesarios y basicamente no requiere corta fuegos; ademas controla las conecciones a bajo nivel con Iptables, con paquetes graficos como Firestarter, GuarDog, Bastille y otros. Sin ánimo de ofender ni polemizar. Hola Juan Si, yo nunca dije que los cortafuegos sean exclusivos de Windows; siempre me referi a que en Windows es mas comun hablar de que se necesita un firewall o cortafuego. Y pregunte en que contexto se usaba el termino firewall, debido a que en la primera respuesta se menciona con ironia algo asi (supongo que usas firewall, no?) y eso de usar cortafuego es tipico de Windows no de Debian. Pero parece que soy un muy mal escritor o los involucrados son malos lectores! En fin, este tema, a mi ya no me interesa. Gracias. Tomado de synaptic: _firewall_ configuration utility for KDE Guarddog is a _firewall_ configuration utility for KDE. It is aimed at two groups of users: novice to intermediate users who are not experts in TCP/IP networking and security, and those users who don't want the hassle of dealing with cryptic shell scripts and ipchains/iptables parameters. Saludos Juan -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: Rootkit.
El lun, 09-02-2009 a las 20:43 -0430, Kellerman Rivero Suarez escribió: mmm... Es mejor que dejes el tema, ya nadie le presta atencion a ignorantes y newbies como tu hermano.. lo siento pero este post ha bajado tu reputacion , demuestra tu escaso dominio del mundo linux! Preferiria que te abstuvieras de comentarios Como te dije antes, deja de enviar correos a mi cuenta personal, envialos a la lista. Y por favor no me llames hermano, a no ser que estes seguro que el pene de mi padre haya sido introducido en la vulva de tu madre. Te aclaro que no tengo ninguna reputacion que cuidar, eso es tipico de los mariquitas u homosexuales! y por lo del tema, pues de verdad que aqui le corto. Gracias. -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
[OT] Ruído (era Re: Rootkit.)
2009/2/10 consultores1 consultor...@gmail.com: El lun, 09-02-2009 a las 20:43 -0430, Kellerman Rivero Suarez escribió: mmm... Es mejor que dejes el tema, ya nadie le presta atencion a ignorantes y newbies como tu hermano.. lo siento pero este post ha bajado tu reputacion , demuestra tu escaso dominio del mundo linux! Preferiria que te abstuvieras de comentarios Como te dije antes, deja de enviar correos a mi cuenta personal, envialos a la lista. Y por favor no me llames hermano, a no ser que estes seguro que el pene de mi padre haya sido introducido en la vulva de tu madre. Te aclaro que no tengo ninguna reputacion que cuidar, eso es tipico de los mariquitas u homosexuales! y por lo del tema, pues de verdad que aqui le corto. Gracias. Hay bastante tráfico en la lista, y sólo faltan correos de este tipo que no ayudan en nada; es más, despistan. Con lo de los mariquitas del otro correo y la lección de genética básica creo que ha quedado claro qué *no* debe ser la lista. Sin ánimo de ofender. Ésta es una lista técnica de Debian y sus alrededores: ahora le tocaba el turno a los rootkits: quedémosnos en ellos y no desviemos la atención. Gracias por la colaboración. EOM -- Adrià García-Alzórriz adri...@gmail.com Senior Specialist Browns Chickens Dept. -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: Rootkit.
Hola Desde mi perspectiva, tenemos 2 fuentes de informacion mucho mas apropiadas, las man y los .doc; ambas estan instaladas por defecto en el SO. En internet, generalmente se encuentran miles de referencias, pero o son obsoletas, o son confusas; asi que me parece que se desperdician los esfuerzos hechos para crear las man y los .doc que generalmente son especificas. .doc??? :S -- --- This message does not contain virus because it was written in Linux! -Excalibur- Linux Registered User #481497 -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: tengo un rootkit instalado?
Curioso, pase el escaner otra vez, y me detecto otro puerto, en este caso el 3557. Hice el tcpdump un rato, navegando por internet y eso, pero no filtró ningún paquete por ese puerto. Por otra parte, he pasado de dhcp a ip fija, y el resultado ahora es: ra0: not promisc and no packet sniffer sockets Puede ser un bug de dhclient3? ¿Tendré efectivamente algún rootkit instalado? Por otra parte me aparecen en el analisis cosas como estas: Checking `wted'... chkwtmp: nothing deleted Esta, pero supongo que no debo preocuparme: Searching for anomalies in shell history files... Warning: `//home/crokan/workspace/.metadata/.plugins/org.eclipse.core.resources/.history' is linked to another file y esto, que es lo que me tiene un poco mosca: Searching for suspicious files and dirs, it may take a while... /usr/lib/firefox/.autoreg /usr/lib/jvm/.java-gcj.jinfo /usr/lib/eclipse/plugins/org.eclipse.help.webapp_3.2.1.R321_v20060803/.options /usr/lib/eclipse/plugins/org.eclipse.ui.intro.universal_3.2.1.R321_v20060905/.options /usr/lib/eclipse/plugins/org.eclipse.pde.build_3.2.1.r321_v20060823/.options /usr/lib/eclipse/plugins/org.eclipse.platform.source_3.2.1.r321_v20060921-MGDh_08KUYM-Bvn/src/org.eclipse.ui.intro_3.2.1.R321_v20060810/.options /usr/lib/eclipse/plugins/org.eclipse.platform.source_3.2.1.r321_v20060921-MGDh_08KUYM-Bvn/src/org.eclipse.ui.intro.universal_3.2.1.R321_v20060905/.options /usr/lib/eclipse/.eclipseproduct /lib/modules/2.6.17-10-386/volatile/.mounted El sáb, 03-02-2007 a las 01:49 +0100, Javier Ruano escribió: Pedro Jose Martin Cano wrote: Hola, pasando el chkrootkit he visto esto: Checking `sniffer'... lo: not promisc and no packet sniffer sockets ra0: PACKET SNIFFER(/sbin/dhclient3[3566]) qué susto ! :) ¿tengo un rootkit instalado? man dhclient3 Vamos obtienes la ip dinámicamente. Podrías ver quién utiliza cada puerto haciendo: -- lsof -si netstat -puta -- o lanzar tcpdump para ver que viene por ese puerto. tcpdump -nvv port 3566 Saludos. Javi. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: tengo un rootkit instalado?
On 2/4/07, Pedro Jose Martin Cano [EMAIL PROTECTED] wrote: Curioso, pase el escaner otra vez, y me detecto otro puerto, en este caso el 3557. Hice el tcpdump un rato, navegando por internet y eso, pero no filtró ningún paquete por ese puerto. Por otra parte, he pasado de dhcp a ip fija, y el resultado ahora es: ra0: not promisc and no packet sniffer sockets Puede ser un bug de dhclient3? ¿Tendré efectivamente algún rootkit instalado? No! el cliente dhcp escucha la interfaz de red en modo promiscuo, es parte del protocolo dhcp. Por otra parte me aparecen en el analisis cosas como estas: Checking `wted'... chkwtmp: nothing deleted Esta, pero supongo que no debo preocuparme: Searching for anomalies in shell history files... Warning: `//home/crokan/workspace/.metadata/.plugins/org.eclipse.core.resources/.history' is linked to another file y esto, que es lo que me tiene un poco mosca: Searching for suspicious files and dirs, it may take a while... /usr/lib/firefox/.autoreg /usr/lib/jvm/.java-gcj.jinfo /usr/lib/eclipse/plugins/org.eclipse.help.webapp_3.2.1.R321_v20060803/.options /usr/lib/eclipse/plugins/org.eclipse.ui.intro.universal_3.2.1.R321_v20060905/.options /usr/lib/eclipse/plugins/org.eclipse.pde.build_3.2.1.r321_v20060823/.options /usr/lib/eclipse/plugins/org.eclipse.platform.source_3.2.1.r321_v20060921-MGDh_08KUYM-Bvn/src/org.eclipse.ui.intro_3.2.1.R321_v20060810/.options /usr/lib/eclipse/plugins/org.eclipse.platform.source_3.2.1.r321_v20060921-MGDh_08KUYM-Bvn/src/org.eclipse.ui.intro.universal_3.2.1.R321_v20060905/.options /usr/lib/eclipse/.eclipseproduct /lib/modules/2.6.17-10-386/volatile/.mounted No te preocupes de esto, yo creo que chkrootkit es pelin paranoico, lo cual está bien, pero esos ficheros no me parecen sospechosos, simplemente son ocultos (.nombre) y por eso te avisa. Te recomiendo que uses también rkhunter, así tendrás dos opiniones diferentes ;) Saludetes, Juanra El sáb, 03-02-2007 a las 01:49 +0100, Javier Ruano escribió: Pedro Jose Martin Cano wrote: Hola, pasando el chkrootkit he visto esto: Checking `sniffer'... lo: not promisc and no packet sniffer sockets ra0: PACKET SNIFFER(/sbin/dhclient3[3566]) qué susto ! :) ¿tengo un rootkit instalado? man dhclient3 Vamos obtienes la ip dinámicamente. Podrías ver quién utiliza cada puerto haciendo: -- lsof -si netstat -puta -- o lanzar tcpdump para ver que viene por ese puerto. tcpdump -nvv port 3566 Saludos. Javi. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: tengo un rootkit instalado?
Por otra parte, he notado una cosa un pelin rara: Firefox, ya me ha pasado 2 veces, se ralentiza y hace que el sistema vaya muy lento, hasta el ratón va a saltos. Por otra parte, gracias por aclararme mis dudas El dom, 04-02-2007 a las 12:54 +0100, Juan Ramon Martin Blanco escribió: On 2/4/07, Pedro Jose Martin Cano [EMAIL PROTECTED] wrote: Curioso, pase el escaner otra vez, y me detecto otro puerto, en este caso el 3557. Hice el tcpdump un rato, navegando por internet y eso, pero no filtró ningún paquete por ese puerto. Por otra parte, he pasado de dhcp a ip fija, y el resultado ahora es: ra0: not promisc and no packet sniffer sockets Puede ser un bug de dhclient3? ¿Tendré efectivamente algún rootkit instalado? No! el cliente dhcp escucha la interfaz de red en modo promiscuo, es parte del protocolo dhcp. Por otra parte me aparecen en el analisis cosas como estas: Checking `wted'... chkwtmp: nothing deleted Esta, pero supongo que no debo preocuparme: Searching for anomalies in shell history files... Warning: `//home/crokan/workspace/.metadata/.plugins/org.eclipse.core.resources/.history' is linked to another file y esto, que es lo que me tiene un poco mosca: Searching for suspicious files and dirs, it may take a while... /usr/lib/firefox/.autoreg /usr/lib/jvm/.java-gcj.jinfo /usr/lib/eclipse/plugins/org.eclipse.help.webapp_3.2.1.R321_v20060803/.options /usr/lib/eclipse/plugins/org.eclipse.ui.intro.universal_3.2.1.R321_v20060905/.options /usr/lib/eclipse/plugins/org.eclipse.pde.build_3.2.1.r321_v20060823/.options /usr/lib/eclipse/plugins/org.eclipse.platform.source_3.2.1.r321_v20060921-MGDh_08KUYM-Bvn/src/org.eclipse.ui.intro_3.2.1.R321_v20060810/.options /usr/lib/eclipse/plugins/org.eclipse.platform.source_3.2.1.r321_v20060921-MGDh_08KUYM-Bvn/src/org.eclipse.ui.intro.universal_3.2.1.R321_v20060905/.options /usr/lib/eclipse/.eclipseproduct /lib/modules/2.6.17-10-386/volatile/.mounted No te preocupes de esto, yo creo que chkrootkit es pelin paranoico, lo cual está bien, pero esos ficheros no me parecen sospechosos, simplemente son ocultos (.nombre) y por eso te avisa. Te recomiendo que uses también rkhunter, así tendrás dos opiniones diferentes ;) Saludetes, Juanra El sáb, 03-02-2007 a las 01:49 +0100, Javier Ruano escribió: Pedro Jose Martin Cano wrote: Hola, pasando el chkrootkit he visto esto: Checking `sniffer'... lo: not promisc and no packet sniffer sockets ra0: PACKET SNIFFER(/sbin/dhclient3[3566]) qué susto ! :) ¿tengo un rootkit instalado? man dhclient3 Vamos obtienes la ip dinámicamente. Podrías ver quién utiliza cada puerto haciendo: -- lsof -si netstat -puta -- o lanzar tcpdump para ver que viene por ese puerto. tcpdump -nvv port 3566 Saludos. Javi. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED] -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: tengo un rootkit instalado?
Y cuando el portatil vuelve a funcionar de manera normal, firefox se cierra solo Tengo que restaurar la sesion El dom, 04-02-2007 a las 13:11 +0100, Pedro Jose Martin Cano escribió: Por otra parte, he notado una cosa un pelin rara: Firefox, ya me ha pasado 2 veces, se ralentiza y hace que el sistema vaya muy lento, hasta el ratón va a saltos. Por otra parte, gracias por aclararme mis dudas El dom, 04-02-2007 a las 12:54 +0100, Juan Ramon Martin Blanco escribió: On 2/4/07, Pedro Jose Martin Cano [EMAIL PROTECTED] wrote: Curioso, pase el escaner otra vez, y me detecto otro puerto, en este caso el 3557. Hice el tcpdump un rato, navegando por internet y eso, pero no filtró ningún paquete por ese puerto. Por otra parte, he pasado de dhcp a ip fija, y el resultado ahora es: ra0: not promisc and no packet sniffer sockets Puede ser un bug de dhclient3? ¿Tendré efectivamente algún rootkit instalado? No! el cliente dhcp escucha la interfaz de red en modo promiscuo, es parte del protocolo dhcp. Por otra parte me aparecen en el analisis cosas como estas: Checking `wted'... chkwtmp: nothing deleted Esta, pero supongo que no debo preocuparme: Searching for anomalies in shell history files... Warning: `//home/crokan/workspace/.metadata/.plugins/org.eclipse.core.resources/.history' is linked to another file y esto, que es lo que me tiene un poco mosca: Searching for suspicious files and dirs, it may take a while... /usr/lib/firefox/.autoreg /usr/lib/jvm/.java-gcj.jinfo /usr/lib/eclipse/plugins/org.eclipse.help.webapp_3.2.1.R321_v20060803/.options /usr/lib/eclipse/plugins/org.eclipse.ui.intro.universal_3.2.1.R321_v20060905/.options /usr/lib/eclipse/plugins/org.eclipse.pde.build_3.2.1.r321_v20060823/.options /usr/lib/eclipse/plugins/org.eclipse.platform.source_3.2.1.r321_v20060921-MGDh_08KUYM-Bvn/src/org.eclipse.ui.intro_3.2.1.R321_v20060810/.options /usr/lib/eclipse/plugins/org.eclipse.platform.source_3.2.1.r321_v20060921-MGDh_08KUYM-Bvn/src/org.eclipse.ui.intro.universal_3.2.1.R321_v20060905/.options /usr/lib/eclipse/.eclipseproduct /lib/modules/2.6.17-10-386/volatile/.mounted No te preocupes de esto, yo creo que chkrootkit es pelin paranoico, lo cual está bien, pero esos ficheros no me parecen sospechosos, simplemente son ocultos (.nombre) y por eso te avisa. Te recomiendo que uses también rkhunter, así tendrás dos opiniones diferentes ;) Saludetes, Juanra El sáb, 03-02-2007 a las 01:49 +0100, Javier Ruano escribió: Pedro Jose Martin Cano wrote: Hola, pasando el chkrootkit he visto esto: Checking `sniffer'... lo: not promisc and no packet sniffer sockets ra0: PACKET SNIFFER(/sbin/dhclient3[3566]) qué susto ! :) ¿tengo un rootkit instalado? man dhclient3 Vamos obtienes la ip dinámicamente. Podrías ver quién utiliza cada puerto haciendo: -- lsof -si netstat -puta -- o lanzar tcpdump para ver que viene por ese puerto. tcpdump -nvv port 3566 Saludos. Javi. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED] -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: tengo un rootkit instalado?
El 4/02/07, Pedro Jose Martin Cano [EMAIL PROTECTED] escribió: Y cuando el portatil vuelve a funcionar de manera normal, firefox se cierra solo Tengo que restaurar la sesion A mi me pasaba algo similar cuando entraba en ciertas páginas con algún flash en algún sitio, he actualizado a flash 9 y de momento no tengo problemas -- ... may the source be with you...
tengo un rootkit instalado?
Hola, pasando el chkrootkit he visto esto: Checking `sniffer'... lo: not promisc and no packet sniffer sockets ra0: PACKET SNIFFER(/sbin/dhclient3[3566]) ¿tengo un rootkit instalado? -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: tengo un rootkit instalado?
Pedro Jose Martin Cano wrote: Hola, pasando el chkrootkit he visto esto: Checking `sniffer'... lo: not promisc and no packet sniffer sockets ra0: PACKET SNIFFER(/sbin/dhclient3[3566]) qué susto ! :) ¿tengo un rootkit instalado? man dhclient3 Vamos obtienes la ip dinámicamente. Podrías ver quién utiliza cada puerto haciendo: -- lsof -si netstat -puta -- o lanzar tcpdump para ver que viene por ese puerto. tcpdump -nvv port 3566 Saludos. Javi. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
anti rootkit para linux?
Saben si existe algun programa tipo antivirus o algo asi, para revisar un linux en busqueda de rootkits instalados, modificaciones, etc. ? -- No virus found in this outgoing message. Checked by AVG Anti-Virus. Version: 7.0.308 / Virus Database: 266.6.2 - Release Date: 04/03/2005 -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
RE: anti rootkit para linux?
claro, es que me van saliendo dudas nuevas a cada instante con respecto a linux! ;) bueno, ya instale el chkrootkit y lo corri, parece estar todo en orden..., la duda surgio al pasarle un scanner de vulnerabilidades (GFI languard) que me detecto algo como rootkit... Gracias! -Mensaje original- De: AntonioCadiz [mailto:[EMAIL PROTECTED] Enviado el: Sábado, 05 de Marzo de 2005 02:57 p.m. Para: debian-user-spanish@lists.debian.org Asunto: Re: anti rootkit para linux? xWin2 wrote: Saben si existe algun programa tipo antivirus o algo asi, para revisar un linux en busqueda de rootkits instalados, modificaciones, etc. ? Sí. Creo que te pareces en algo a mí. Lanzas varios hilos de búsqueda, comenzando por la lista, aunque investigues por tu cuenta, me equivoco?. Es un carácter argentino o algo así? :). $ apt-cache search rootkit chkrootkit - Checks for signs of rootkits on the local system Y si buscas en google hay algunos más especializados (o eso dicen) como rkhunter. De todas formas, hay que usar la cabeza, porque a veces te dice cosas que en realidad no lleva razón. -- Zalu2 Antonio Carrasco. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED] -- No virus found in this incoming message. Checked by AVG Anti-Virus. Version: 7.0.308 / Virus Database: 266.6.2 - Release Date: 04/03/2005 -- No virus found in this outgoing message. Checked by AVG Anti-Virus. Version: 7.0.308 / Virus Database: 266.6.2 - Release Date: 04/03/2005 -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: anti rootkit para linux?
El Sáb 05 Mar 2005 14:56, AntonioCadiz escribió: xWin2 wrote: Saben si existe algun programa tipo antivirus o algo asi, para revisar un linux en busqueda de rootkits instalados, modificaciones, etc. ? Sí. Creo que te pareces en algo a mí. Lanzas varios hilos de búsqueda, comenzando por la lista, aunque investigues por tu cuenta, me equivoco?. Es un carácter argentino o algo así? :). Que pasa con los Argentinos? Saludos. Roldyx. $ apt-cache search rootkit chkrootkit - Checks for signs of rootkits on the local system Y si buscas en google hay algunos más especializados (o eso dicen) como rkhunter. De todas formas, hay que usar la cabeza, porque a veces te dice cosas que en realidad no lleva razón. -- Zalu2 Antonio Carrasco.
Re: anti rootkit para linux?
Rodrigo wrote: El Sáb 05 Mar 2005 14:56, AntonioCadiz escribió: xWin2 wrote: Saben si existe algun programa tipo antivirus o algo asi, para revisar un linux en busqueda de rootkits instalados, modificaciones, etc. ? Sí. Creo que te pareces en algo a mí. Lanzas varios hilos de búsqueda, comenzando por la lista, aunque investigues por tu cuenta, me equivoco?. Es un carácter argentino o algo así? :). jajajajaj si!!! yo soy argentino y culpable!!! hago lo mismo... Bytes (perdon por no aportar nada util!) Que pasa con los Argentinos? Saludos. Roldyx. $ apt-cache search rootkit chkrootkit - Checks for signs of rootkits on the local system Y si buscas en google hay algunos más especializados (o eso dicen) como rkhunter. De todas formas, hay que usar la cabeza, porque a veces te dice cosas que en realidad no lleva razón. -- Zalu2 Antonio Carrasco. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Rootkit (era problema con pstree libncurses)
El Sábado 12 Febrero 2005 20:04, AntonioCadiz escribió: Me estoy volviendo algo paranoico y no sé mucho de esto. ¿Alguien sabe cómo puedo borrar estos archivos? A ver. Creo que he encontrado al culpable. Es el usuario 3287. Y por lo visto, es más poderoso que root, porque no me deja borrar ninguno de estos archivos. debian:/# ls -l / -R | grep 3287 -rwxr-xr-x 1 3287 users 35464 Feb 9 15:09 login -rwxr-xr-x 1 3287 users 39696 Mar 18 2002 ls -rwxr-xr-x 1 3287 users 54152 Nov 24 2001 netstat -rwxr-xr-x 1 3287 users 62920 Aug 25 2003 ps -rwxr-xr-x 1 3287 users 31504 Nov 24 2001 ifconfig -rwxr-xr-x 1 3287 users 26496 Jan 3 2002 syslogd -rwxr-xr-x 1 3287 users 39696 Nov 29 2000 dir -rwxr-xr-x 1 3287 users 59536 Jun 2 2001 find -rwxr-xr-x 1 3287 users 31452 May 16 2002 md5sum -rwxr-xr-x 1 3287 users 12340 Mar 2 2002 pstree -rwxr-xr-x 1 3287 users 23560 Nov 29 2000 slocate -rwxr-xr-x 1 3287 users 33992 Aug 25 2003 top -rwxr-xr-x 1 3287 users 82628 Nov 29 2000 lsof -rwxr-xr-x 1 3287 users 98776 Mar 22 2002 ttymon Y por lo visto, al tener el ls infectado, no me deja ver ciertos archivos. ls: /proc/177/exe: No such file or directory ls: /proc/2/exe: No such file or directory ls: /proc/3/exe: No such file or directory ls: /proc/4/exe: No such file or directory ls: /proc/5/exe: No such file or directory ls: /proc/6/exe: No such file or directory ls: /proc/7/exe: No such file or directory ls: /proc/71/exe: No such file or directory paranoico total Y, esto no sé si puede significar algo, pero aparece el 3287 en estos archivos. Creo que es pura casualidad. -rwxr-xr-x 1 root bin 3287 Sep 9 14:29 find.cgi -rwxr-xr-x 1 root bin 3287 Dec 28 20:02 find.cgi -rw-r--r-- 1 root root 3287 Feb 25 2002 ioctl.c /paranoico total Cuando termine con esto voy a escribir un libro de misterio. Internet sólo me dice que reinstale el sistema. No me da más soluciones. ¿Tenéis vosotros alguna?. Realmente esta vez necesito ayuda. -- Zalu2 Antonio Carrasco. Hola. Lo normal es que una vez que haya ejecutado lo que queria borrara los binarios (en windows no se puede, XD) con lo que no tienes nada que hacer si has seguido utilizando el ordenador porque los inodos ya habran sido ocupados(supongo?). Que no puedas borrar ficheros siendo rootprobablemente esten con atributo de solo lectura si tienes ext2/3 miralo con lsattr y si es asi lo cambias. De todas formas lo de siempre, aisla el sistema de los demas, quita el cable de red si lo tienes, haz imagen del disco para posterior analisis (lo veo dificil si has tardado mucho desde la intrusion, habra borrado registros y demas y si es listo con un wipe) y reinstala absolutamente todo ya que es problable que te hayan metido un modulito en el kernel o algo parecido. Y tranquilo, que esto le pasa a casi todos.XD (excepto a esos paranoicos de otro planeta) Saludos, Alvaro