UPS, ahí si me jodieron esos rootkits, bueno ahi adjunto lo q me reporta la herramienta.
reinstalar esta medio fregado. bueno muchas gracias por tu ayuda estimado Carlos. El 30 de septiembre de 2015, 2:02 p. m., Carlos Martinez<cama...@gmail.com> escribió: > Saludos. > > La herramienta no limpia. Solo dice qué hay de malo o sospechoso. > Dependiendo de lo que encuentre, habría que decidir qué camino seguir. > > En CentOS rkhunter produce varios falsos positivos respecto a que > algunos programas del sistema son en realidad scripts y sobre > versiones desactualizadas (/sbin/ifdown, /sbin/ifup, /usr/bin/GET, > /usr/bin/groups, /usr/bin/ldd, /usr/bin/whatis; archivos ocultos en > /dev y las versiones de OpenSSH y OpenSSL). Estas advertencias > generalmente es seguro ignorarlos si el sistema está actualizado. Si > lo rojo que mencionas esta en la parte de rootkits, backdoors o > cuentas, el sistema seguramente está comprometido. La buena práctica > dicta que lo mejor es reinstalar. > > Atte., > Carlos Andrés Martínez > > > 2015-09-30 13:31 GMT-05:00 Rhamyro Alcoser A. <rhamyr...@gmail.com>: > > Estimado Carlos, > > > > > > Ya logre instalar el rkhunter, > > > > ejecute de la siguiente forma rkhunter -c en root y la verdad tengo > algunos > > warning en rojo. > > > > consulta la herramienta limpia o debo hacer almo mas de forma manual¡? > > > > gracias por tu gran ayuda. > > > > > > > > > > El 30 de septiembre de 2015, 12:52 p. m., Carlos Martinez< > cama...@gmail.com> > > escribió: > > > >> Saludos. > >> > >> No. Rkhunter no altera ningún archivo del sistema. > >> > >> Atte., > >> Carlos Andrés Martínez > >> > >> > >> > >> 2015-09-30 12:11 GMT-05:00 Rhamyro Alcoser A. <rhamyr...@gmail.com>: > >> > No afecta en nada al resto del sistema como te comente es un sistema > en > >> > producción? > >> > > >> > gracias por el dato. > >> > > >> > > >> > El 30 de septiembre de 2015, 11:55 a. m., Carlos Martinez< > >> cama...@gmail.com> > >> > escribió: > >> > > >> >> Saludos. > >> >> > >> >> Descartando problemas de disco, El comportamiento que mencionas puede > >> >> ser producido por un rootkit. Este modifica binarios esenciales del > >> >> sistema y crea puertas traseras. Para evitar que sea eliminado, > coloca > >> >> atributo de inmutable a los binarios alterados. Como es un sistema > que > >> >> has heredado, existe la mínima posibilidad de que el administrador > >> >> anterior le haya colocado el atributo de inmutable a determinados > >> >> archivos, con el fin de 'proteger' el sistema. > >> >> > >> >> Para salir de la duda verifica el sistema con rkhunter > >> >> (http://rkhunter.sourceforge.net/) > >> >> > >> >> El proceso para ello es mas o menos el siguiente: > >> >> > >> >> 1) Descarga rkhunter de la URL indicada > >> >> > >> >> 2) Instala rkhunter (desde consola como root): > >> >> > >> >> tar zxf rkhunter-<version>.tar.gz > >> >> cd rkhunter-<version> > >> >> ./installer.sh --install > >> >> > >> >> 3) Ejecuta rkhunter con el siguiente comando (desde consola como > root): > >> >> > >> >> rkhunter --check > >> >> > >> >> Hay que prestar especial atención a lo que sale de color rojo y a la > >> >> sección de rookits. > >> >> > >> >> No está de más desearte feliz cacería. > >> >> > >> >> > >> >> Atte., > >> >> Carlos Andrés Martínez > >> >> > >> >> 2015-09-30 10:42 GMT-05:00 Rhamyro Alcoser A. <rhamyr...@gmail.com>: > >> >> > > >> >> > Saludos Estimado Cesar, > >> >> > > >> >> > por favor disculpa las molestias, antes q nada mi mundo es un poco > >> mas a > >> >> > Windows y por razones de trabajo me toca tambien linux pero > >> principiante > >> >> > con la ayuda de google. > >> >> > > >> >> > > >> >> > me Alarmas con tus observaciones puede q así este y yo sin saber, > >> >> > > >> >> > para el primer caso lo ejecute el comando y no encuentra ningún > error, > >> >> para > >> >> > el segundo puedes explicarme un poco mas por favor o ahy alguna > >> >> herramienta > >> >> > que pueda hacer esto. > >> >> > > >> >> > es un servidor de correo. > >> >> > > >> >> > gracias por tus comentarios > >> >> > > >> >> > estos comandos del otro amigo: > >> >> > > >> >> > ls inmutable dice que no encuentra y > >> >> > chattr -i /bin/ls me ejecuta pero en realidad no envía ningún > mensaje > >> >> > > >> >> > todo lo estopy haciendo en modo super user o root > >> >> > > >> >> > > >> >> > El 30 de septiembre de 2015, 10:08 a. m., Carlos Martinez< > >> >> cama...@gmail.com> > >> >> > escribió: > >> >> > > >> >> > > Cordial saludo. > >> >> > > > >> >> > > Eso en mi experiencia ocurre por dos razones: > >> >> > > > >> >> > > 1) Disco duro malo. > >> >> > > > >> >> > > 2) Sistema comprometido por un rootkit que ha reemplazado > binarios > >> >> > > esenciales del sistema por otros alterados y les ha puesto un > >> atributo > >> >> de > >> >> > > no modificar (immutable). > >> >> > > > >> >> > > El punto 1, se descarta/verifica con dmesg. > >> >> > > > >> >> > > El punto 2, se descarta/verifica entrando a cada directorio > (/bin, > >> >> /sbin, > >> >> > > /usr/bin, /usr/sbin) y haciendo un lsattr. Se puede recuperar el > >> >> sistema > >> >> > > pero lo mejor es reinstalar. > >> >> > > > >> >> > > Atte., > >> >> > > Carlos Andrés Martínez > >> >> > > > >> >> > > 2015-09-30 8:59 GMT-05:00 Rhamyro Alcoser A. < > rhamyr...@gmail.com>: > >> >> > > > >> >> > > > Saludos estimados amigos, > >> >> > > > > >> >> > > > Por favor agradezco su gentil ayuda y opiniones del siguiente > >> caso, > >> >> estoy > >> >> > > > queriendo actualizar el coreutils en un servidor en producción > - > >> >> CENTOS > >> >> > > > 5.11 y me presenta el siguiente mensaje, según lo revisado me > >> >> indican que > >> >> > > > debo actualizar coreutils por mejoras en el sistema. > >> >> > > > > >> >> > > > Gracias por sus comentarios o sugerencias. > >> >> > > > > >> >> > > > ---------- > >> >> > > > > >> >> > > > > >> >> > > > > >> >> > > > Now updating coreutils .. > >> >> > > > > >> >> > > > > >> >> > > > > >> >> > > > Instalando paquete(s) con el comando yum -y install > coreutils > >> .. > >> >> > > > > >> >> > > > > >> >> > > > > >> >> > > > Loaded plugins: fastestmirror > >> >> > > > > >> >> > > > Loading mirror speeds from cached hostfile > >> >> > > > > >> >> > > > * base: centos.ufms.br > >> >> > > > > >> >> > > > * extras: centos.ufms.br > >> >> > > > > >> >> > > > * updates: centos.ufms.br > >> >> > > > > >> >> > > > Setting up Install Process > >> >> > > > > >> >> > > > Resolving Dependencies > >> >> > > > > >> >> > > > --> Running transaction check > >> >> > > > > >> >> > > > ---> Package coreutils.i386 0:5.97-34.el5_8.1 set to be > >> updated > >> >> > > > > >> >> > > > --> Finished Dependency Resolution > >> >> > > > > >> >> > > > > >> >> > > > > >> >> > > > Dependencies Resolved > >> >> > > > > >> >> > > > > >> >> > > > > >> >> > > > > >> >> > > > > >> >> > > > > >> >> > > > >> >> > >> > ================================================================================ > >> >> > > > > >> >> > > > Package Arch Version > >> >> > > > Repository Size > >> >> > > > > >> >> > > > > >> >> > > > > >> >> > > > > >> >> > > > >> >> > >> > ================================================================================ > >> >> > > > > >> >> > > > Updating: > >> >> > > > > >> >> > > > > >> >> > > > > >> >> > > > Transaction Summary > >> >> > > > > >> >> > > > > >> >> > > > > >> >> > > > > >> >> > > > >> >> > >> > ================================================================================ > >> >> > > > > >> >> > > > Install 0 Package(s) > >> >> > > > > >> >> > > > Upgrade 1 Package(s) > >> >> > > > > >> >> > > > > >> >> > > > > >> >> > > > Total download size: 3.6 M > >> >> > > > > >> >> > > > Downloading Packages: > >> >> > > > > >> >> > > > Running rpm_check_debug > >> >> > > > > >> >> > > > Running Transaction Test > >> >> > > > > >> >> > > > Finished Transaction Test > >> >> > > > > >> >> > > > Transaction Test Succeeded > >> >> > > > > >> >> > > > Running Transaction > >> >> > > > > >> >> > > > Updating : > >> >> > > > coreutils > 1/2Error > >> >> > > unpacking > >> >> > > > rpm package coreutils-5.97-34.el5_8.1.i386 > >> >> > > > > >> >> > > > > >> >> > > > > >> >> > > > error: unpacking of archive failed on file /bin/ls: cpio: > >> rename > >> >> > > > > >> >> > > > > >> >> > > > > >> >> > > > Failed: > >> >> > > > > >> >> > > > coreutils.i386 > >> >> > > > 0:5.97-34.el5_8.1 > >> >> > > > > >> >> > > > > >> >> > > > > >> >> > > > Complete! > >> >> > > > > >> >> > > > > >> >> > > > > >> >> > > > .. ¡falló la instalación! > >> >> > > > > >> >> > > > > >> >> > > > > >> >> > > > > >> >> > > > > >> >> > > > > >> >> > > > -- > >> >> > > > > >> >> > > > *Rhamyro Alcoser A.* > >> >> > > > > >> >> > > > *ITIL & Systems Development* > >> >> > > > > >> >> > > > *Mailto1:* rhamyr...@gmail.com > >> >> > > > > >> >> > > > *Mailto2:* rhamyr...@icloud.com <rhamyr...@gmail.com> > >> >> > > > > >> >> > > > *Skype: *rhamyr...@outlook.com <ramiro...@hotmail.com> > >> >> > > > > >> >> > > > *Quito - Ecuador * > >> >> > > > > >> >> > > > > >> >> > > > *¿Qué, pues, diremos a esto? Si Dios es por nosotros, ¿quién > >> contra > >> >> > > > nosotros?, Rm 8:31* > >> >> > > > _______________________________________________ > >> >> > > > CentOS-es mailing list > >> >> > > > CentOS-es@centos.org > >> >> > > > https://lists.centos.org/mailman/listinfo/centos-es > >> >> > > > > >> >> > > _______________________________________________ > >> >> > > CentOS-es mailing list > >> >> > > CentOS-es@centos.org > >> >> > > https://lists.centos.org/mailman/listinfo/centos-es > >> >> > > > >> >> > > >> >> > > >> >> > > >> >> > -- > >> >> > > >> >> > *Rhamyro Alcoser A.* > >> >> > > >> >> > *ITIL & Systems Development* > >> >> > > >> >> > *Mailto1:* rhamyr...@gmail.com > >> >> > > >> >> > *Mailto2:* rhamyr...@icloud.com <rhamyr...@gmail.com> > >> >> > > >> >> > *Skype: *rhamyr...@outlook.com <ramiro...@hotmail.com> > >> >> > > >> >> > *Quito - Ecuador * > >> >> > > >> >> > > >> >> > *¿Qué, pues, diremos a esto? Si Dios es por nosotros, ¿quién contra > >> >> > nosotros?, Rm 8:31* > >> >> > _______________________________________________ > >> >> > CentOS-es mailing list > >> >> > CentOS-es@centos.org > >> >> > https://lists.centos.org/mailman/listinfo/centos-es > >> >> _______________________________________________ > >> >> CentOS-es mailing list > >> >> CentOS-es@centos.org > >> >> https://lists.centos.org/mailman/listinfo/centos-es > >> >> > >> > > >> > > >> > > >> > -- > >> > > >> > *Rhamyro Alcoser A.* > >> > > >> > *ITIL & Systems Development* > >> > > >> > *Mailto1:* rhamyr...@gmail.com > >> > > >> > *Mailto2:* rhamyr...@icloud.com <rhamyr...@gmail.com> > >> > > >> > *Skype: *rhamyr...@outlook.com <ramiro...@hotmail.com> > >> > > >> > *Quito - Ecuador * > >> > > >> > > >> > *¿Qué, pues, diremos a esto? Si Dios es por nosotros, ¿quién contra > >> > nosotros?, Rm 8:31* > >> > _______________________________________________ > >> > CentOS-es mailing list > >> > CentOS-es@centos.org > >> > https://lists.centos.org/mailman/listinfo/centos-es > >> _______________________________________________ > >> CentOS-es mailing list > >> CentOS-es@centos.org > >> https://lists.centos.org/mailman/listinfo/centos-es > >> > > > > > > > > -- > > > > *Rhamyro Alcoser A.* > > > > *ITIL & Systems Development* > > > > *Mailto1:* rhamyr...@gmail.com > > > > *Mailto2:* rhamyr...@icloud.com <rhamyr...@gmail.com> > > > > *Skype: *rhamyr...@outlook.com <ramiro...@hotmail.com> > > > > *Quito - Ecuador * > > > > > > *¿Qué, pues, diremos a esto? Si Dios es por nosotros, ¿quién contra > > nosotros?, Rm 8:31* > > _______________________________________________ > > CentOS-es mailing list > > CentOS-es@centos.org > > https://lists.centos.org/mailman/listinfo/centos-es > _______________________________________________ > CentOS-es mailing list > CentOS-es@centos.org > https://lists.centos.org/mailman/listinfo/centos-es > -- *Rhamyro Alcoser A.* *ITIL & Systems Development* *Mailto1:* rhamyr...@gmail.com *Mailto2:* rhamyr...@icloud.com <rhamyr...@gmail.com> *Skype: *rhamyr...@outlook.com <ramiro...@hotmail.com> *Quito - Ecuador * *¿Qué, pues, diremos a esto? Si Dios es por nosotros, ¿quién contra nosotros?, Rm 8:31* _______________________________________________ CentOS-es mailing list CentOS-es@centos.org https://lists.centos.org/mailman/listinfo/centos-es