Encontre algo bastante interesante sobre rootkits es decir varios troyanos y como funcionan...
http://packetstormsecurity.nl/UNIX/penetration/rootkits/ adios!!!!! On Tuesday 02 July 2002 10:56, you wrote: > Por lo que pude ver, es una comprobaci�n de si existe un troyano llamado > bindshell con la sig comprobaci�n: > > > bindshell () { > PORT="114|145|465|511|600|1008|1524|1999|2881|3133|3879|4369|5665|10008|123 >21|23132|27374|29364|31336|31337|45454|47017|47889|60001" OPT="-an" > PI="" > if [ "${ROOTDIR}" != "/" ]; then > echo "not tested" > return ${NOT_TESTED} > fi if [ "${EXPERT}" = "t" ]; then > expertmode_output "${netstat} ${OPT}" > return 5 > fi > for P in `echo $PORT | ${sed} 's/|/ /g'`; do > if ${netstat} "${OPT}" | ${egrep} "^tcp.*LIST|^udp" | ${egrep} \ > "[^0-9.]${P}[^0-9.]" >/dev/null 2>&1 > then > PI="${PI} ${P}" > fi > done > if [ "${PI}" != "" ] > then > echo "INFECTED (PORTS: $PI)" > else > if [ "${QUIET}" != "t" ]; then echo "not infected"; fi > fi > } > > http://www.cs.york.ac.uk/ftpdir/pub/james/chkrootkit/chkrootkit > > > El bindshell es un troyano que lo que hace es linkear un shell a un puerto > como el 31337 para ser usado desde fuera. > Forma parte de las rootkits, un conjunto de programas troyanos. > > Para sacarlo fijate en: > > http://ciberia.ya.com/rhodius/Hack/-%20J_J_F_%20-%20Hackers%20Team%20-%20El >iminando%20las%20RootKits%201_0.htm > > Espero que te sirva. > > Saludos.- > > El Tuesday 02 July 2002 09:43, Fernando R escribi�: > > Hola, buen dia... > > Resulta que tengo al chkrootkit enganchado al cron y desde ayer que me > > sale esto. > > Estuve googleando y no encontre mucho... > > Lo unico que encontre fue con: > > > > debian:/opt/chkrootkit-0.35# netstat -a|grep 3133 > > udp 0 0 *:31337 *:* > > udp 0 0 *:3133 *:* > > > > Pero no se que mas buscar...si alguien sabe de algo que chifle. > > > > Saludos > > Fernando
