Re: mi servidor crackeado?
On Thu, Nov 02, 2006 at 08:36:22AM +0100, Israel Gutierrez wrote: El Miércoles, 1 de Noviembre de 2006 22:41, Christian Pinedo Zamalloa escribió: estoy un tanto preocupado ya que ante comportamientos un poco raros del servidor en cuestiones como quotas o conexión ssh y recelos me han hecho comprobar periodicamente el servidor con chkrootkit. La cuestión es que en algunas comprobaciones obtengo el siguiente mensaje: You have 1 process hidden for readdir command You have 1 process hidden for ps command chkproc: Warning: Possible LKM Trojan installed Si buscas ese error en google verás la cantidad tan enorme de falsos positivos que le ha dado a la gente. Mucho mejor que chkrootkit es rkhunter, aunque es bueno mantener ambos. Antes de tomar medidas drásticas, analiza el tráfico de red de esa máquina, y/o utiliza comandos compilados estáticamente en un soporte de sólo lectura, para comprobar memoria, recursos o conexiones de red. Lo primero gracias a todos por vuestros consejos. La verdad que tambien estoy empezando a pensar que ha sido un falso positivo. De hecho, he utilizado rkhunter y no me ha detectado nada. Para asegurarme he creado un script que cada 5 minutos se ejecuta y en caso de que chkrootkit detecte algo tambien ejecuto rkhunter y guardo informacion sobre quien esta conectado en la maquina, procesos y conexiones de red. Con esto espero asegurarme si ha sido un falso positivo o no. Ahora lo que me estoy planteando es buscar una solución que más adelante no me provoque tantas dudas. Utilizo Logwatch para comprobar los logs diariamente, pero los logs pueden ser modificados por un atacante con permisos de root. Así, estoy pensando en un checkeador de integridad (Integrit, tripwire o aide). Creo que son bastante similares pero si alguien me puede comentar algo sobre ellos u otras herramientas que debería utilizar se lo agradecería. Un saludos y gracias por los comentarios que ya estaba bastante acelerado, -- Christian Pinedo Zamalloa -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: mi servidor crackeado?
Tal que el Wed, 1 Nov 2006 21:24:41 +0100 Christian Pinedo Zamalloa [EMAIL PROTECTED] tuvo a bien escribir: hola, estoy un tanto preocupado ya que ante comportamientos un poco raros del servidor en cuestiones como quotas o conexión ssh y recelos me han hecho comprobar periodicamente el servidor con chkrootkit. La cuestión es que en algunas comprobaciones obtengo el siguiente mensaje: You have 1 process hidden for readdir command You have 1 process hidden for ps command chkproc: Warning: Possible LKM Trojan installed La verdad que no se cuanta fiabilidad en este aviso de chkrootkit que ya comenta que es un Possible caso de LKM Trojan. Llevo años administrando máquinas con Debian GNU/Linux y otros Unixes y nunca me he encontrado con este problema. Me gustaría que me aconsejaseis que puedo hacer/comprobar si tengo un cracker entre mis usuarios o no: debsums, find, ?? Agradecería algun consejo (o referencias) que vaya más allá de una reinstalación de Debian. Gracias, Tuve un problema parecido hace tiempo, y me temo que fue una falsa alarma. Aunque ante la inseguridad, preferí reinstalar el sistema. En mi caso, no es un servidor, sino un PC doméstico. Mi alarma inicial surgió a raíz del chkrootkit, también. Por lo que pude averiguar, se recomendaba instalar la última versión de su página web, porque la que instalaba debian por aquél entonces no era la última. Por otra parte, te recomendaría comprobar el sistema con otros cazadores de rootkits Google te ayudará a buscarlos, porque ahora no recuerdo. Aparte, tengo en el sistema el antivirus clamav, que también puede ayudar a identificar posibles virus y supongo que también rootkits. Mantén la mente fría. En mi caso fue lo más difícil... Suerte -- _ Roberto Rodríguez Rego JABBER [EMAIL PROTECTED] USUARIO GNU/Linux #141919 Clave Pública GNUPG: 0xCB67FFE6 en http://www.keyserver.net _
Re: mi servidor crackeado?
On Wed, Nov 01, 2006 at 09:53:31PM +0100, R.R.R. wrote: Tal que el Wed, 1 Nov 2006 21:24:41 +0100 Christian Pinedo Zamalloa [EMAIL PROTECTED] tuvo a bien escribir: hola, estoy un tanto preocupado ya que ante comportamientos un poco raros del servidor en cuestiones como quotas o conexión ssh y recelos me han hecho comprobar periodicamente el servidor con chkrootkit. La cuestión es que en algunas comprobaciones obtengo el siguiente mensaje: You have 1 process hidden for readdir command You have 1 process hidden for ps command chkproc: Warning: Possible LKM Trojan installed La verdad que no se cuanta fiabilidad en este aviso de chkrootkit que ya comenta que es un Possible caso de LKM Trojan. Llevo años administrando máquinas con Debian GNU/Linux y otros Unixes y nunca me he encontrado con este problema. Me gustaría que me aconsejaseis que puedo hacer/comprobar si tengo un cracker entre mis usuarios o no: debsums, find, ?? Agradecería algun consejo (o referencias) que vaya más allá de una reinstalación de Debian. Gracias, Tuve un problema parecido hace tiempo, y me temo que fue una falsa alarma. Aunque ante la inseguridad, preferí reinstalar el sistema. En mi caso, no es un servidor, sino un PC doméstico. Mi alarma inicial surgió a raíz del chkrootkit, también. Por lo que pude averiguar, se recomendaba instalar la última versión de su página web, porque la que instalaba debian por aquél entonces no era la última. Por otra parte, te recomendaría comprobar el sistema con otros cazadores de rootkits Google te ayudará a buscarlos, porque ahora no recuerdo. Aparte, tengo en el sistema el antivirus clamav, que también puede ayudar a identificar posibles virus y supongo que también rootkits. Mantén la mente fría. En mi caso fue lo más difícil... Suerte La versión que tengo instalada es la de los Backports de debian, con lo que entiendo que es batante reciente. Sin embargo, voy a mirar algunos otros detectores de rootkit. El problema es que la detección que me da chkrootkit no me da siempre sino que en algunas ocasiones. Esa aleatoriedad es lo que me da mas miedo. Saludos, -- Christian Pinedo Zamalloa -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: mi servidor crackeado?
El Miércoles, 1 de Noviembre de 2006 21:53, R.R.R. escribió: Tuve un problema parecido hace tiempo, y me temo que fue una falsa alarma. Exactamente ¿en qué se basa el chkrootkit? Lo digo porque he visto que uno de los tests por separado que puede hacer es el de examinar el comando top, así que he hecho esto: # echo farsa /usr/bin/top # chkrootkit top ROOTDIR is `/' Checking `top'... not infected Vamos, que he fulminado el binario top y me dice que todo va bien. ¿?¿ Si borro el fichero top me dice: # chkrootkit top ROOTDIR is `/' Checking `top'... not found Vale, muy bien, pero que antes me diga que no está infectado cuando resulta que lo he machacado -- Iñaki Por el bien de todos respetemos las normas de la lista: http://wiki.debian.org/NormasLista
Re: mi servidor crackeado?
El Miércoles, 1 de Noviembre de 2006 22:41, Christian Pinedo Zamalloa escribió: estoy un tanto preocupado ya que ante comportamientos un poco raros del servidor en cuestiones como quotas o conexión ssh y recelos me han hecho comprobar periodicamente el servidor con chkrootkit. La cuestión es que en algunas comprobaciones obtengo el siguiente mensaje: You have 1 process hidden for readdir command You have 1 process hidden for ps command chkproc: Warning: Possible LKM Trojan installed Si buscas ese error en google verás la cantidad tan enorme de falsos positivos que le ha dado a la gente. Mucho mejor que chkrootkit es rkhunter, aunque es bueno mantener ambos. Antes de tomar medidas drásticas, analiza el tráfico de red de esa máquina, y/o utiliza comandos compilados estáticamente en un soporte de sólo lectura, para comprobar memoria, recursos o conexiones de red. -- BOFH excuse #113: Root nameservers are out of sync pgpNI6qMfm3O0.pgp Description: PGP signature
Re: mi servidor crackeado?
Tal que el Wed, 1 Nov 2006 22:41:23 +0100 Christian Pinedo Zamalloa [EMAIL PROTECTED] tuvo a bien escribir: La versión que tengo instalada es la de los Backports de debian, con lo que entiendo que es batante reciente. Sin embargo, voy a mirar algunos otros detectores de rootkit. La versión que se ofrece para instalar en Sid es la 0.46a-4, mientras que la que está disponible para descarga en la web (http://www.chkrootkit.org/) es la 0.47 El problema es que la detección que me da chkrootkit no me da siempre sino que en algunas ocasiones. Esa aleatoriedad es lo que me da mas miedo. La información que da no es más que orientativa en muchos casos. Avisa de possible infection con lo que te deja la puerta abierta a más comprobaciones. Además, en la descripción del paquete dice: Please note that this is not a definitive test, it does not ensure that the target has not been cracked. In addition to running chkrootkit, one should perform more specific tests Aunque lo menciona en el sentido de que no ha sido crackeado yo también lo resaltaría en el contrario, hasta que no se hagan más comprobaciones. Acabo de instalarlo en el sistema, y me dice: Checking `bindshell'... INFECTED (PORTS: 3049 4000) Es decir, afirma _categóricamente_ que estoy infectado. Esto fue parte de lo que me mosqueó en la vez anterior, aunque había más. En este caso, los puertos que muestra no están abiertos al exterior. El 3049 es el puerto que utiliza un paquete de encriptación de ficheros, cfs, y el 4000 es utilizado por mldonkey para conexión local por telnet, para controlarlo. Con esto no quiero decir que en tu caso no haya nada, sino que es IMPRESCINDIBLE hacer más comprobaciones. No obstante, si se trata de un servidor al que se le tiene mucho cariño sería recomendable protegerlo con herramientas preventivas, tipo tripwire o similares, para evitar llevarse sustos a posteriori. Un saludo -- _ Roberto Rodríguez Rego JABBER [EMAIL PROTECTED] USUARIO GNU/Linux #141919 Clave Pública GNUPG: 0xCB67FFE6 en http://www.keyserver.net _