Nico wrote:
JAP escribió:
Cristian Mitchell escribió:
El 27/01/08, JAP <[EMAIL PROTECTED]> escribió:
La pregunta es... ¿cómo detecto si me han hecho vudú, o sea, si se
convirtió en zombie?
con pstree y top
Todo eso está "sin novedad en el frente"; junto con netstat es lo
primero que probé.
Estoy SEGURO que no está zombie, pero estoy queriendo saber de
alguien que haya tenido el problema, cómo se dio cuenta, qué hizo,
qué utiliza ahora para evitarlo, etcétera.
Mas allá de si los end-user linuxeros somos o no un target para las
botnet (;)), si alguien entró en tu máquina como root entonces la
única forma de asegurarte que el equipo no se encuentra comprometido
es desde otro; si una persona planea usar tu equipo como zombie, y
hace un buen trabajo, entonces hay que asumir que, por ejemplo, pstree
es en realidad un versión parcheada para que no liste los procesos que
el atacante no quiera que se listen. Lo mismo con las demás utilidades
de sistema.
Lo que haría en tu caso, si realmente tenés dudas, es un backup y un
"cat /dev/urandom > /dev/sdN". Claro, con un backup de /home y otro de
/etc me puede llevar 3 horas tener un Debian nuevo, en mi pc personal,
pero si lo que buscas es investigar entonces podrías snifear las
conexiones con otro equipo, o usar un live cd para revisar los logs
(posiblemente sin encontrar nada) y correr un md5 sobre los binarios
del sistema para compararlos con otros seguros. No soy un experto en
seguridad pero son las dos opciones que se me ocurren.
Saludos!
Buenos días, el aporte que puedo hacer al hilo por mi experiencia en
este tema de la paranoia es el siguiente:
Dando por hecha la suposición del amigo Nico sobre si alguien entró en
tu máquina como root y parcheó herramientas como netstat, pstree o
cualquier otra herramienta de administración, lo bueno sería que
(habiendo sido precavidos) hubiésemos hecho chequeos md5 de las
herramientas y directorios mas importantes de nuestro sistema (justo
después de la instalación para mayor seguridad), guardando los
resultados para cotejarlos luego en un supuesto caso como este contra
los resultados del nuevo chequeo md5 que haríamos a las herramientas
aparentemente modificadas.
Obviamente el archivo de texto resultante lo deberíamos guardar en un
medio ajeno a la propia máquina por cuestiones de seguridad.
Si los resultados de la comparación con el md5 actual de las
herramientas no coincidiesen, existen detectores de rootkits que podemos
utilizar para detectar esa clase de anomalías. La siguiente dirección
corresponde a check rootkit, el detector de rootkits mas popular, capaz
también de realizar chequeos sobre varios aspectos de la seguridad del
sistema, incluyendo la modificación de binarios del sistema:
http://www.chkrootkit.org
Creo que eso es todo lo que pudiera aconsejar.
Saludos.
Martín