-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
Guarda Fer, el bindshell tambi�n sale por el 3133.
saludos.-
El Tuesday 02 July 2002 12:10, Fernando R escribi�:
> Cha gracias sebastian...
> Ya encontre .... estaba infestado con el raton "chupa cabras"...
> noooo, aparentemente me ataco la persecuta..
> El tema es asi ( o maso menos asi)
> El "portsentry" estaba corriendo y da esa "falsa alarma" ya que se queda a
> la escucha del 31337.
> ------cut------------
> debian:/opt/chkrootkit-0.35# lsof |grep 3133
> portsentr 31195 root 16u IPv4 1548596 UDP *:31337
> ------cut------------
> igual hasta hace un rato tenia otro proceso "named" escuchando al 3133
> (cosa de mandinga)
>
> restartie el bind y desaparecio...
> medio raro, osea el 31337 soy yo, pero no se quien era el que estaba
> colgado del 3133...pero ya se fue...
>
> Saludos y gracias ... y recuerden de apagar el portsentry antes de ejecutar
> el chkrootkit o en su defecto no se caguen ensima
>
> (PD: Ta bueno el "lsof" !!!)
>
> Fernando Ricchi
>
> ----- Original Message -----
> From: "Sebasti�n D. Criado" <[EMAIL PROTECTED]>
> To: <[EMAIL PROTECTED]>
> Sent: Tuesday, July 02, 2002 10:56 AM
> Subject: Re: [LUG.ro] Checking `bindshell'... INFECTED (PORTS: 3133)
>
> > -----BEGIN PGP SIGNED MESSAGE-----
> > Hash: SHA1
> >
> > Por lo que pude ver, es una comprobaci�n de si existe un troyano llamado
> > bindshell con la sig comprobaci�n:
> >
> >
> > bindshell () {
>
> PORT="114|145|465|511|600|1008|1524|1999|2881|3133|3879|4369|5665|10008|123
>2 1|23132|27374|29364|31336|31337|45454|47017|47889|60001"
>
> > OPT="-an"
> > PI=""
> > if [ "${ROOTDIR}" != "/" ]; then
> > echo "not tested"
> > return ${NOT_TESTED}
> > fi if [ "${EXPERT}" = "t" ]; then
> > expertmode_output "${netstat} ${OPT}"
> > return 5
> > fi
> > for P in `echo $PORT | ${sed} 's/|/ /g'`; do
> > if ${netstat} "${OPT}" | ${egrep} "^tcp.*LIST|^udp" | ${egrep} \
> > "[^0-9.]${P}[^0-9.]" >/dev/null 2>&1
> > then
> > PI="${PI} ${P}"
> > fi
> > done
> > if [ "${PI}" != "" ]
> > then
> > echo "INFECTED (PORTS: $PI)"
> > else
> > if [ "${QUIET}" != "t" ]; then echo "not infected"; fi
> > fi
> > }
> >
> > http://www.cs.york.ac.uk/ftpdir/pub/james/chkrootkit/chkrootkit
> >
> >
> > El bindshell es un troyano que lo que hace es linkear un shell a un
> > puerto como el 31337 para ser usado desde fuera.
> > Forma parte de las rootkits, un conjunto de programas troyanos.
> >
> > Para sacarlo fijate en:
>
> http://ciberia.ya.com/rhodius/Hack/-%20J_J_F_%20-%20Hackers%20Team%20-%20El
>i minando%20las%20RootKits%201_0.htm
>
> > Espero que te sirva.
> >
> > Saludos.-
> >
> > El Tuesday 02 July 2002 09:43, Fernando R escribi�:
> > > Hola, buen dia...
> > > Resulta que tengo al chkrootkit enganchado al cron y desde ayer que me
>
> sale
>
> > > esto.
> > > Estuve googleando y no encontre mucho...
> > > Lo unico que encontre fue con:
> > >
> > > debian:/opt/chkrootkit-0.35# netstat -a|grep 3133
> > > udp 0 0 *:31337 *:*
> > > udp 0 0 *:3133 *:*
> > >
> > > Pero no se que mas buscar...si alguien sabe de algo que chifle.
> > >
> > > Saludos
> > > Fernando
> >
> > - --
> > - --
> > Sebasti�n D. Criado - [EMAIL PROTECTED]
> > L.U.G.R.o - http://www.lugro.org.ar
> > GNU/Linux Registered User # 146768
> > - -------------------------------------------------------------------
> > "Si el Universo fuera un programa estar�a hecho en C, y correr�a sobre
> > un sistema UNIX"
> > An�nimo.
> > -----BEGIN PGP SIGNATURE-----
> > Version: GnuPG v1.0.6 (GNU/Linux)
> > Comment: For info see http://www.gnupg.org
> >
> > iD8DBQE9IbEW8hmHQ8ZCg0IRApCQAJ99QwI4E9ofZEHuA1/1X/LLWka1BgCgpCEs
> > P0o8NtVTqAHa/PHjBxOOZnc=
> > =V8Ay
> > -----END PGP SIGNATURE-----
- --
- --
Sebasti�n D. Criado - [EMAIL PROTECTED]
L.U.G.R.o - http://www.lugro.org.ar
GNU/Linux Registered User # 146768
- -------------------------------------------------------------------
"Si el Universo fuera un programa estar�a hecho en C, y correr�a sobre
un sistema UNIX"
An�nimo.
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.0.6 (GNU/Linux)
Comment: For info see http://www.gnupg.org
iD8DBQE9IirI8hmHQ8ZCg0IRAoVrAJ4sifIQ8SnOySiwMmOA3QjI3IOuWwCdFJz3
h6b7JQBWNCcJJdPXSnuKatU=
=YG9B
-----END PGP SIGNATURE-----
