Enas... o malas, para mi... Tengo un servidor potato (antes tenia el kernel 2.2.17) al que le han metido el troyano KLM (segun me dice el chkrootkit-0.34). El caso es que tenia un proceso oculto y un inodo oculto (no se si los sigo teniendo, ahora no me dice nada el chkrootkit). Además, he recibido una llamada diciéndome que mi máquina es una tumbamáquinas nocturna, de 2 a 3 (segun me han dicho) se dedica a escanear puertos de otras máquinas y cosas por el estilo.
Segun me he enterado, ese troyano es en realidad un módulo del kernel. De ahí su capacidad para ocultarse (no sale en /proc). Como medida urgente he compilao, en otra potato, el 2.2.20 _sin_ soporte de módulos, de forma que el supuesto módulo troyano no se pueda cargar. Además, he revisado todos los archivos setuid y setgid, al parecer ninguno de ellos ha sido modificado. Tampoco lo han sido los que comprueba el chkrootkit (tengo los ojos chinos de tanto leer md5sums). Estoy ahora revisando todos los archivos con fecha reciente de modificación (no se si el malditor troyano es capaz de modificar archivos sin modificar la fecha de modificación) También he puesto un firewall delante de esta máquina para loguear todos los paquetes, a ver que hace esta noche... El caso es que dicha máquina no se encuentra en mis instalaciones sinó a unos 30Km, en otra empresa, y para colmo no tiene unidad de cdrom; por lo que una reinstalación a piñón se me hace muy difícil. Es por eso que si me podeis ayudar en algo, si sabeis algo mas que yo de dicho troyano, si me podeis decir algo que hacer, etc... porfavor, decidmelo, ando algo perdido. -- Jaume Sabater - Aquí hi va una firma -