Hola Gerardo, José, *
Disculpa por favor Gerardo si no te respondí antes pero estuve fuera.
El 20/02/12 21:40, Jose Maldonado escribió:
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256
El 20/02/12 17:49, Gerardo A. Mirkin escribió:
Hola Juan,
Gracias por la sugerencia. Si, rkhunter y chkootkit coinciden. El link que
me mandás lo había leído. Pero como no entiendo mucho del tema... ¿De esto
asumo que puedo considerarlo el bug?
No necesariamente, quizás haya que estar preparado.
Gracias.
Saludos
Gerardo
El 20 de febrero de 2012 10:16, Juan Lavieri<jlavi...@gmail.com> escribió:
Hola Gerardo.
El 19/02/12 15:05, Gerardo A. Mirkin escribió:
Hola,
Corrí rkhunter y aparecen estas líneas que me llevan a sospechar un
malware
¿Es así?
Al parecer es un bug del rkhunter. Aquí tienes un enlace por donde
empezar:
http://lists.alioth.debian.**org/pipermail/forensics-devel/**
2011-July/002907.html<http://lists.alioth.debian.org/pipermail/forensics-devel/2011-July/002907.html>
[16:18:40] Warning: The command '/usr/bin/unhide.rb' has been replaced by
a
script: /usr/bin/unhide.rb: Ruby script, ASCII text
Además:
16:21:33] Warning: Hidden directory found: /etc/.java *(¿Cómo lo hago
visible a rkhunter para que lo revise?)*
[16:21:51]
[16:21:51] Info: Test 'apps' disabled at users request. *(¿Cómo habilito
la
prueba de aplicaciones? Parece deshabilitada por defecto, porque yo no la
inhabilité)*
[16:21:51]
[16:21:51] System checks summary
[16:21:51] =====================
[16:21:51]
[16:21:51] File properties checks...
[16:21:51] Files checked: 137
[16:21:51] Suspect files: 1
[16:21:51]
[16:21:51] Rootkit checks...
[16:21:51] Rootkits checked : 242
[16:21:51] Possible rootkits: 1
[16:21:51] Rootkit names : Xzibit Rootkit
[16:21:51]
[16:21:51] Applications checks...
[16:21:51] All checks skipped
[16:21:51]
[16:21:51] The system checks took: 4 minutes and 1 second
[16:21:52]
[16:21:52] Info: End date is dom feb 19 16:21:52 ART 2012
Gracias por sus respuestas. Saludos,
Gerardo
Saludos
Juan Lavieri
--
To UNSUBSCRIBE, email to
debian-user-spanish-REQUEST@**lists.debian.org<debian-user-spanish-requ...@lists.debian.org>
with a subject of "unsubscribe". Trouble? Contact
listmas...@lists.debian.org
Archive:
http://lists.debian.org/**4f4247bc.10...@gmail.com<http://lists.debian.org/4f4247bc.10...@gmail.com>
He hecho las pruebas para rkhunter y chkrootkit en mi Debian Wheezy 64
Bits, y pues me he llevado la misma sorpresa que tu.
El chkrootkit, no me dice nada excepto porque dhclient es sospechoso de
ser un SNIFFER. ¿¿??
En rkhunter, he tenido dos advertencia:
1.- El ejecutable unhide.rb, pues rkhunter me ha advertido de el, y al
parecer tiene que ver con el bug ya comentado anteriormente, y en
esDebian también tratan un poco de el y explican ciertas situaciones que
le dejen respirar un poco más tranquilo, asegurando que es un bug. Así
mismo también hablan del problema de rkhunter 1.3.6-3 y sus falsos
positivos. Extrañamente si revisas todo el log, te das cuenta que
rkhunter no encuentra nada sospechoso cuando se dedica a buscar los
rootkits. [1][2][3]
2.- Me ha dado también la advertencia por archivos y directorios
ocultos, que también se encuentra documentada por el bug ya descrito
Checking for hidden files and directories [ Warning ]
Hice las pruebas para ofrecerte una mejor ayuda, desde mi perspectiva el
sistema esta seguro, ya que la situación está documentada, de todas
formas no esta nada mal tomarse ciertas previsiones y estar atento a
cualquier noticia de seguridad con respecto a esto, espero que la info
te sea de ayuda.
LINKS
*****
1.- http://www.esdebian.org/foro/46255/posible-rootkit-xzibit-rootkit
2.-
http://www.mail-archive.com/debian-bugs-dist@lists.debian.org/msg726560.html
3.- http://forums.debian.net/viewtopic.php?f=10&t=48549
Como dice José es bueno tomar medidas; por ejemplo, un buen respaldo de
tus datos y estar atentos como te indicó.
Además un sistema comprometido con un rootkit debe reinstalarse desde
cero, pero esperemos que no haya necesidad.
Saludos
Juan Lavieri
--
To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/4f444d7a.2010...@gmail.com