Cha gracias sebastian...
Ya encontre .... estaba infestado con el raton "chupa cabras"...
noooo, aparentemente me ataco la persecuta..
El tema es asi ( o maso menos asi)
El "portsentry" estaba corriendo y da esa "falsa alarma" ya que se queda a
la escucha del 31337.
------cut------------
debian:/opt/chkrootkit-0.35# lsof |grep 3133
portsentr 31195 root 16u IPv4 1548596 UDP *:31337
------cut------------
igual hasta hace un rato tenia otro proceso "named" escuchando al 3133 (cosa
de mandinga)
restartie el bind y desaparecio...
medio raro, osea el 31337 soy yo, pero no se quien era el que estaba colgado
del 3133...pero ya se fue...
Saludos y gracias ... y recuerden de apagar el portsentry antes de ejecutar
el chkrootkit o en su defecto no se caguen ensima
(PD: Ta bueno el "lsof" !!!)
Fernando Ricchi
----- Original Message -----
From: "Sebasti�n D. Criado" <[EMAIL PROTECTED]>
To: <[EMAIL PROTECTED]>
Sent: Tuesday, July 02, 2002 10:56 AM
Subject: Re: [LUG.ro] Checking `bindshell'... INFECTED (PORTS: 3133)
> -----BEGIN PGP SIGNED MESSAGE-----
> Hash: SHA1
>
> Por lo que pude ver, es una comprobaci�n de si existe un troyano llamado
> bindshell con la sig comprobaci�n:
>
>
> bindshell () {
>
PORT="114|145|465|511|600|1008|1524|1999|2881|3133|3879|4369|5665|10008|1232
1|23132|27374|29364|31336|31337|45454|47017|47889|60001"
> OPT="-an"
> PI=""
> if [ "${ROOTDIR}" != "/" ]; then
> echo "not tested"
> return ${NOT_TESTED}
> fi if [ "${EXPERT}" = "t" ]; then
> expertmode_output "${netstat} ${OPT}"
> return 5
> fi
> for P in `echo $PORT | ${sed} 's/|/ /g'`; do
> if ${netstat} "${OPT}" | ${egrep} "^tcp.*LIST|^udp" | ${egrep} \
> "[^0-9.]${P}[^0-9.]" >/dev/null 2>&1
> then
> PI="${PI} ${P}"
> fi
> done
> if [ "${PI}" != "" ]
> then
> echo "INFECTED (PORTS: $PI)"
> else
> if [ "${QUIET}" != "t" ]; then echo "not infected"; fi
> fi
> }
>
> http://www.cs.york.ac.uk/ftpdir/pub/james/chkrootkit/chkrootkit
>
>
> El bindshell es un troyano que lo que hace es linkear un shell a un puerto
> como el 31337 para ser usado desde fuera.
> Forma parte de las rootkits, un conjunto de programas troyanos.
>
> Para sacarlo fijate en:
>
>
http://ciberia.ya.com/rhodius/Hack/-%20J_J_F_%20-%20Hackers%20Team%20-%20Eli
minando%20las%20RootKits%201_0.htm
>
> Espero que te sirva.
>
> Saludos.-
>
>
>
> El Tuesday 02 July 2002 09:43, Fernando R escribi�:
> > Hola, buen dia...
> > Resulta que tengo al chkrootkit enganchado al cron y desde ayer que me
sale
> > esto.
> > Estuve googleando y no encontre mucho...
> > Lo unico que encontre fue con:
> >
> > debian:/opt/chkrootkit-0.35# netstat -a|grep 3133
> > udp 0 0 *:31337 *:*
> > udp 0 0 *:3133 *:*
> >
> > Pero no se que mas buscar...si alguien sabe de algo que chifle.
> >
> > Saludos
> > Fernando
>
> - --
> - --
> Sebasti�n D. Criado - [EMAIL PROTECTED]
> L.U.G.R.o - http://www.lugro.org.ar
> GNU/Linux Registered User # 146768
> - -------------------------------------------------------------------
> "Si el Universo fuera un programa estar�a hecho en C, y correr�a sobre
> un sistema UNIX"
> An�nimo.
> -----BEGIN PGP SIGNATURE-----
> Version: GnuPG v1.0.6 (GNU/Linux)
> Comment: For info see http://www.gnupg.org
>
> iD8DBQE9IbEW8hmHQ8ZCg0IRApCQAJ99QwI4E9ofZEHuA1/1X/LLWka1BgCgpCEs
> P0o8NtVTqAHa/PHjBxOOZnc=
> =V8Ay
> -----END PGP SIGNATURE-----
>
>
>
>
