On Sun, 10 Oct 2004 16:18:43 +0200, Robert Vall [EliziR] <[EMAIL PROTECTED]> wrote: > > > Excalibur wrote: > > >Saludos: > > Acabo de pasar el chkrootkit al sistema y me devuelve: > > > >Checking `asp'... not infected > >Checking `bindshell'... INFECTED (PORTS: 3049) > >Checking `lkm'... nothing detected > >Checking `rexedcs'... not found > >Checking `sniffer'... lo: not promisc and no packet sniffer sockets > >eth0: PACKET SNIFFER(/sbin/dhclient3[371], /sbin/dhclient3[2335]) > > > >de lo que deduzco que bindshell me está generando problemas. > > En cuanto a lo de eth0, ¿debo preocuparme por lo del packet sniffer? > > ¿Cómo puedo solucionar lo de bindshell? Nmap no me dice nada > >acerca de ese puerto. > > Necesito que alguien me eche una mano con esto, se escapa a mis > >posibilidades, y sigo con problemas con el correo, así que si alguien > >contesta, espero que lo haga a esta dirección, aunque sea fuera de la > >lista. > > > > > Bien, solo una pregunta: utilizas algun tipo de utilidad para detectar > escaneos? Tipo portsentry.
No uso portsentry, pero sí scandet, una utilidad para avisarme en el caso de que alguien escanee mis puertos. Quizá me precipité un poco al mandar el correo, pero así, de pronto, me alarmé bastante. Luego, buscando en Google, ví lo del portsentry y me quedé "algo" más tranquilo. > Si esta activado a veces da algun conflicto con el shkrootkit. Paralo > (/etc/init.d/portsentry stop) y luego mira otda vez el resultado del > chkrotkit. Bien, esto que digo va mas bien por el problema que te dice > del "bindshell". Pero por el otro del sniffer... No creo que sea > problema de esto :S He probado a matar el proceso con killall, pero no parecía ser ese el programa que generaba el conflicto. De todas formas, imagino que los tiros van por ahí, así que será cuestión de ir probando el viejo método de ensayo y error. En cuanto a lo del sniffer, pues no me preocupa tanto porque es un programa que se encarga de mantener actualizados mis DNS, dado que el proveedor tiene la mala costumbre de cambiarlos cada media hora, aprox., y supongo que lo hará mediante la inspección de todos los paquetes que pasan por eth0, y como la interfaz tampoco está en modo promiscuo... > Siento si esto no te sirve de nada ^^¡ No te creas... Me ha ayudado bastante. Muchas gracias por molestarte en contestar. Un saludo y hasta pronto.
