Re: Resultado de chkrootkit sospechoso
Pues parece que ahora va todo bien, pero al hacer un análisis me ha detectado esto: Searching for OBSD rk v1... /usr/lib/security /usr/lib/security/classpath.security Y el archivo es el siguiente (todo lo que no pongo está comentado): # The VM-wide default callback handler class name. MUST be a subclass of # javax.security.auth.callback.CallbackHandler auth.login.defaultCallbackHandler=gnu.javax.security.auth.callback.DefaultCallbackHandler # If this file isn't found we fall back to generating entropy through # battling threads. securerandom.source=file:///dev/urandom # Note that the settings and ordering here are mirrored in Security. security.provider.1=gnu.java.security.provider.Gnu security.provider.2=gnu.javax.crypto.jce.GnuCrypto security.provider.3=gnu.javax.crypto.jce.GnuSasl security.provider.4=gnu.javax.net.ssl.provider.Jessie security.provider.5=gnu.javax.security.auth.callback.GnuCallbacks ¿Veis algún problema de seguridad? -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Resultado de chkrootkit sospechoso
El mar, 13-03-2007 a las 19:02 +0100, Pedro Jose Martin Cano escribió: Pues parece que ahora va todo bien, pero al hacer un análisis me ha detectado esto: Searching for OBSD rk v1... /usr/lib/security /usr/lib/security/classpath.security Y el archivo es el siguiente (todo lo que no pongo está comentado): # The VM-wide default callback handler class name. MUST be a subclass of # javax.security.auth.callback.CallbackHandler auth.login.defaultCallbackHandler=gnu.javax.security.auth.callback.DefaultCallbackHandler # If this file isn't found we fall back to generating entropy through # battling threads. securerandom.source=file:///dev/urandom # Note that the settings and ordering here are mirrored in Security. security.provider.1=gnu.java.security.provider.Gnu security.provider.2=gnu.javax.crypto.jce.GnuCrypto security.provider.3=gnu.javax.crypto.jce.GnuSasl security.provider.4=gnu.javax.net.ssl.provider.Jessie security.provider.5=gnu.javax.security.auth.callback.GnuCallbacks ¿Veis algún problema de seguridad? ¿tienes instalado el libgcj-common? hazle un [less|more|doble_click] a: /usr/share/doc/chrootkit/README.Debian Es un falso positivo, a menos que estés usando alguna versión vieja, obsoleta y sin actualizar de OpenBSD ;) -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Resultado de chkrootkit sospechoso
Ante todo perdon porque me he dado cuenta de que el mensaje anterior lo envié a un particular, en vez de a la lista. Lo siento, no volverá a ocurrir. En cuanto a lo de los rootkit, ya he borrado los archivos sin ningún problema. Ahora chkrootkit solo me detecta esto: Checking `sniffer'... lo: not promisc and no packet sniffer sockets eth1: PACKET SNIFFER(/sbin/dhclient3[3107]) Este creo que es porque la ip la cojo por dhcp Estos los he estado mirando y no veo nada raro Searching for suspicious files and dirs, it may take a while... /usr/lib/jvm/.java-1.5.0-sun.jinfo /usr/lib/eclipse/plugins/org.eclipse.platform.source_3.2.1.r321_v20060921-MGDh_08KUYM-Bvn/src/org.eclipse.ui.intro_3.2.1.R321_v20060810/.options /usr/lib/eclipse/plugins/org.eclipse.platform.source_3.2.1.r321_v20060921-MGDh_08KUYM-Bvn/src/org.eclipse.ui.intro.universal_3.2.1.R321_v20060905/.options /usr/lib/eclipse/plugins/org.eclipse.pde.build_3.2.1.r321_v20060823/.options /usr/lib/eclipse/plugins/org.eclipse.help.webapp_3.2.1.R321_v20060803/.options /usr/lib/eclipse/plugins/org.eclipse.ui.intro.universal_3.2.1.R321_v20060905/.options /usr/lib/eclipse/.eclipseproduct Este me moskea un poco, pero no se si sera normal: Searching for OBSD rk v1... /usr/lib/security /usr/lib/security/classpath.security ¿Y esto que es, bueno o malo? Checking `wted'... chkwtmp: nothing deleted Checking `scalper'... not infected Checking `slapper'... not infected Checking `z2'... chklastlog: nothing deleted Checking `lkm'... chkproc: nothing detected Ya no me detecta ningun rootkit lkm. Lo que no me convence es el nothing deleted Lo gracioso es que al hacer un nmap me detecta que mi SO es openBSD!! Por cierto, ni rastro de los puertos que anteriormente tenía abiertos Starting Nmap 4.11 ( http://www.insecure.org/nmap/ ) at 2007-02-26 20:56 CET Interesting ports on localhost (127.0.0.1): Not shown: 65527 closed ports PORT STATE SERVICE VERSION 25/tcpopen smtp Exim smtpd 4.63 111/tcp open rpcbind (rpcbind V2) 2 (rpc #10) 113/tcp open identOpenBSD identd 631/tcp open ipp CUPS 1.2 2208/tcp open hpiodHP Linux Imaging and Printing System 7741/tcp open lisa LAN Information Server 57779/tcp open unknown 60935/tcp open status (status V1)1 (rpc #100024) No exact OS matches for host (If you know what OS is running on it, see http://www.insecure.org/cgi-bin/nmap-submit.cgi). TCP/IP fingerprint: SInfo(V=4.11%P=i686-pc-linux-gnu%D=2/26%Tm=45E33BE5%O=25%C=1) TSeq(Class=RI%gcd=1%SI=3C6A03%IPID=Z) TSeq(Class=RI%gcd=1%SI=3C6AC3%IPID=Z) TSeq(Class=RI%gcd=1%SI=3C6E7A%IPID=Z) T1(Resp=Y%DF=Y%W=8000%ACK=S++%Flags=AS%Ops=MNNTNW) T2(Resp=N) T3(Resp=Y%DF=Y%W=8000%ACK=S++%Flags=AS%Ops=MNNTNW) T4(Resp=Y%DF=Y%W=0%ACK=O%Flags=R%Ops=) T5(Resp=Y%DF=Y%W=0%ACK=S++%Flags=AR%Ops=) T6(Resp=Y%DF=Y%W=0%ACK=O%Flags=R%Ops=) T7(Resp=Y%DF=Y%W=0%ACK=S++%Flags=AR%Ops=) PU(Resp=Y%DF=N%TOS=C0%IPLEN=164%RIPTL=148%RID=E%RIPCK=E%UCK=E%ULEN=134%DAT=E) Service Info: Host: debian.WAG54GS; OS: OpenBSD Nmap finished: 1 IP address (1 host up) scanned in 134.895 seconds ¿Como lo veis ahora? ---BeginMessage--- Bueno, ya he borrado unos cuantos archivos sin ningún problema. Ahora chkrootkit solo me detecta esto: Checking `sniffer'... lo: not promisc and no packet sniffer sockets eth1: PACKET SNIFFER(/sbin/dhclient3[3107]) Este creo que es porque la ip la cojo por dhcp Estos los he estado mirando y no veo nada raro Searching for suspicious files and dirs, it may take a while... /usr/lib/jvm/.java-1.5.0-sun.jinfo /usr/lib/eclipse/plugins/org.eclipse.platform.source_3.2.1.r321_v20060921-MGDh_08KUYM-Bvn/src/org.eclipse.ui.intro_3.2.1.R321_v20060810/.options /usr/lib/eclipse/plugins/org.eclipse.platform.source_3.2.1.r321_v20060921-MGDh_08KUYM-Bvn/src/org.eclipse.ui.intro.universal_3.2.1.R321_v20060905/.options /usr/lib/eclipse/plugins/org.eclipse.pde.build_3.2.1.r321_v20060823/.options /usr/lib/eclipse/plugins/org.eclipse.help.webapp_3.2.1.R321_v20060803/.options /usr/lib/eclipse/plugins/org.eclipse.ui.intro.universal_3.2.1.R321_v20060905/.options /usr/lib/eclipse/.eclipseproduct Este me moskea un poco, pero no se si sera normal: Searching for OBSD rk v1... /usr/lib/security /usr/lib/security/classpath.security ¿Y esto que es, bueno o malo? Checking `wted'... chkwtmp: nothing deleted Checking `scalper'... not infected Checking `slapper'... not infected Checking `z2'... chklastlog: nothing deleted Checking `lkm'... chkproc: nothing detected Ya no me detecta ningun rootkit lkm. Lo que no me convence es el nothing deleted ¿Como lo veis ahora? ---End Message---
Re: Resultado de chkrootkit sospechoso
El 24/02/07, Miguel Da Silva - Centro de Matemática [EMAIL PROTECTED] escribió: Pedro Jose Martin Cano escreveu: ¿Debería volver a instalar mi debian como sugiere mi compañero? ¿Como puedo saber si es un falso positivo o no? El ordenador anda correctamente Gracias Bueno, realmente instalar todo otra vez no es la mejor opción (salvo que estés 100% seguro de que han entrado en tu máquina). Esa PC está detrás Y quien te garantiza que reinstalando no te volveran a entrar? de algún firewall/gateway? Si es así podés dejar tcpdump corriendo para ver las conexiones que hay hacia internet. Lo que si hay que hacer es sacar la PC de la red. Sobre los rootkit te digo que sí a veces hay falso-positivos (me acuerdo de uno que era generado por tener snort corriendo), pero no sabría decirte una manera efectiva de comprobar que ese es tu caso. Fijate en los archivos/carpetas que fueron declarados sospechosos por los rootkits. Si es el caso borralos y fijate si aparecen otra vez. Así que suerte con todo eso. Saludos. -- Miguel Da Silva Administrador de Red Centro de Matemática - http://www.cmat.edu.uy Facultad de Ciencias - http://www.fcien.edu.uy Universidad de la República - http://www.rau.edu.uy -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED] -- Ricardo A.Frydman Administrador de Sistemas Unix http://www.eureka-linux.com.ar
Re: Resultado de chkrootkit sospechoso
Ricardo Eureka! escreveu: El 24/02/07, Miguel Da Silva - Centro de Matemática [EMAIL PROTECTED] escribió: Pedro Jose Martin Cano escreveu: ¿Debería volver a instalar mi debian como sugiere mi compañero? ¿Como puedo saber si es un falso positivo o no? El ordenador anda correctamente Gracias Bueno, realmente instalar todo otra vez no es la mejor opción (salvo que estés 100% seguro de que han entrado en tu máquina). Esa PC está detrás Y quien te garantiza que reinstalando no te volveran a entrar? Nadie. Si sos creyente de algún dios, tal vez hacerle alguna oración te ayude. de algún firewall/gateway? Si es así podés dejar tcpdump corriendo para ver las conexiones que hay hacia internet. Lo que si hay que hacer es sacar la PC de la red. Sobre los rootkit te digo que sí a veces hay falso-positivos (me acuerdo de uno que era generado por tener snort corriendo), pero no sabría decirte una manera efectiva de comprobar que ese es tu caso. Fijate en los archivos/carpetas que fueron declarados sospechosos por los rootkits. Si es el caso borralos y fijate si aparecen otra vez. Así que suerte con todo eso. Saludos. -- Miguel Da Silva Administrador de Red Centro de Matemática - http://www.cmat.edu.uy Facultad de Ciencias - http://www.fcien.edu.uy Universidad de la República - http://www.rau.edu.uy -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED] -- Miguel Da Silva Administrador de Red Centro de Matemática - http://www.cmat.edu.uy Facultad de Ciencias - http://www.fcien.edu.uy Universidad de la República - http://www.rau.edu.uy -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Resultado de chkrootkit sospechoso
El 25/02/07, Miguel Da Silva - Centro de Matemática [EMAIL PROTECTED] escribió: Ricardo Eureka! escreveu: El 24/02/07, Miguel Da Silva - Centro de Matemática [EMAIL PROTECTED] escribió: Pedro Jose Martin Cano escreveu: Bueno, realmente instalar todo otra vez no es la mejor opción (salvo que estés 100% seguro de que han entrado en tu máquina). Esa PC está detrás Y quien te garantiza que reinstalando no te volveran a entrar? Nadie. Si sos creyente de algún dios, tal vez hacerle alguna oración te ayude. La alternativa es hacer las cosas bien y a conciencia. Los dioses ayudan mucho mas a la gente que anda por esos caminos. -- Ricardo A.Frydman Administrador de Sistemas Unix http://www.eureka-linux.com.ar
Re: Resultado de chkrootkit sospechoso
¿Debería volver a instalar mi debian como sugiere mi compañero? ¿Como puedo saber si es un falso positivo o no? El ordenador anda correctamente Gracias -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Resultado de chkrootkit sospechoso
Pedro Jose Martin Cano escreveu: ¿Debería volver a instalar mi debian como sugiere mi compañero? ¿Como puedo saber si es un falso positivo o no? El ordenador anda correctamente Gracias Bueno, realmente instalar todo otra vez no es la mejor opción (salvo que estés 100% seguro de que han entrado en tu máquina). Esa PC está detrás de algún firewall/gateway? Si es así podés dejar tcpdump corriendo para ver las conexiones que hay hacia internet. Lo que si hay que hacer es sacar la PC de la red. Sobre los rootkit te digo que sí a veces hay falso-positivos (me acuerdo de uno que era generado por tener snort corriendo), pero no sabría decirte una manera efectiva de comprobar que ese es tu caso. Fijate en los archivos/carpetas que fueron declarados sospechosos por los rootkits. Si es el caso borralos y fijate si aparecen otra vez. Así que suerte con todo eso. Saludos. -- Miguel Da Silva Administrador de Red Centro de Matemática - http://www.cmat.edu.uy Facultad de Ciencias - http://www.fcien.edu.uy Universidad de la República - http://www.rau.edu.uy -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Resultado de chkrootkit sospechoso
Realizando un análisis con chkrootkit ha detectado esto, y estoy realmente preocupado: eth1: PACKET SNIFFER(/sbin/dhclient3[3063]) Checking `lkm'... You have 2 process hidden for readdir command You have 2 process hidden for ps command chkproc: Warning: Possible LKM Trojan installed Searching for suspicious files and dirs, it may take a while... /usr/lib/xulrunner/.autoreg /usr/lib/jvm/java-1.5.0-sun-1.5.0.10/.systemPrefs /usr/lib/jvm/.java-1.5.0-sun.jinfo /usr/lib/iceweasel/.autoreg /usr/lib/eclipse/plugins/org.eclipse.platform.source_3.2.1.r321_v20060921-MGDh_08KUYM-Bvn/src/org.eclipse.ui.intro_3.2.1.R321_v20060810/.options /usr/lib/eclipse/plugins/org.eclipse.platform.source_3.2.1.r321_v20060921-MGDh_08KUYM-Bvn/src/org.eclipse.ui.intro.universal_3.2.1.R321_v20060905/.options /usr/lib/eclipse/plugins/org.eclipse.pde.build_3.2.1.r321_v20060823/.options /usr/lib/eclipse/plugins/org.eclipse.help.webapp_3.2.1.R321_v20060803/.options /usr/lib/eclipse/plugins/org.eclipse.ui.intro.universal_3.2.1.R321_v20060905/.options /usr/lib/eclipse/.eclipseproduct /lib/init/rw/.ramfs Tendré un el troyano ese instalado? ¿Como puedo ver los procesos ocultos? Aparte de los plugins de eclipse, le veis algo sospechoso a esos archivos? -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Resultado de chkrootkit sospechoso
Pedro Jose Martin Cano wrote: Realizando un análisis con chkrootkit ha detectado esto, y estoy realmente preocupado: eth1: PACKET SNIFFER(/sbin/dhclient3[3063]) Checking `lkm'... You have 2 process hidden for readdir command You have 2 process hidden for ps command chkproc: Warning: Possible LKM Trojan installed Searching for suspicious files and dirs, it may take a while... /usr/lib/xulrunner/.autoreg /usr/lib/jvm/java-1.5.0-sun-1.5.0.10/.systemPrefs /usr/lib/jvm/.java-1.5.0-sun.jinfo /usr/lib/iceweasel/.autoreg /usr/lib/eclipse/plugins/org.eclipse.platform.source_3.2.1.r321_v20060921-MGDh_08KUYM-Bvn/src/org.eclipse.ui.intro_3.2.1.R321_v20060810/.options /usr/lib/eclipse/plugins/org.eclipse.platform.source_3.2.1.r321_v20060921-MGDh_08KUYM-Bvn/src/org.eclipse.ui.intro.universal_3.2.1.R321_v20060905/.options /usr/lib/eclipse/plugins/org.eclipse.pde.build_3.2.1.r321_v20060823/.options /usr/lib/eclipse/plugins/org.eclipse.help.webapp_3.2.1.R321_v20060803/.options /usr/lib/eclipse/plugins/org.eclipse.ui.intro.universal_3.2.1.R321_v20060905/.options /usr/lib/eclipse/.eclipseproduct /lib/init/rw/.ramfs Tendré un el troyano ese instalado? ¿Como puedo ver los procesos ocultos? Aparte de los plugins de eclipse, le veis algo sospechoso a esos archivos? Chequeaste estos archivos? /usr/lib/xulrunner/.autoreg /lib/init/rw/.ramfs /usr/lib/iceweasel/.autoreg Para los procesos no sé si ps te ayudaría, pero sería buena idea probar con eso. Saludos. -- Miguel Da Silva Administrador de Red Centro de Matemática - http://www.cmat.edu.uy Facultad de Ciencias - http://www.fcien.edu.uy Universidad de la República - http://www.rau.edu.uy -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Resultado de chkrootkit sospechoso
¿Cómo los testeo? Gracias Miguel Da Silva - Centro de Matemática escribió: Pedro Jose Martin Cano wrote: Realizando un análisis con chkrootkit ha detectado esto, y estoy realmente preocupado: eth1: PACKET SNIFFER(/sbin/dhclient3[3063]) Checking `lkm'... You have 2 process hidden for readdir command You have 2 process hidden for ps command chkproc: Warning: Possible LKM Trojan installed Searching for suspicious files and dirs, it may take a while... /usr/lib/xulrunner/.autoreg /usr/lib/jvm/java-1.5.0-sun-1.5.0.10/.systemPrefs /usr/lib/jvm/.java-1.5.0-sun.jinfo /usr/lib/iceweasel/.autoreg /usr/lib/eclipse/plugins/org.eclipse.platform.source_3.2.1.r321_v20060921-MGDh_08KUYM-Bvn/src/org.eclipse.ui.intro_3.2.1.R321_v20060810/.options /usr/lib/eclipse/plugins/org.eclipse.platform.source_3.2.1.r321_v20060921-MGDh_08KUYM-Bvn/src/org.eclipse.ui.intro.universal_3.2.1.R321_v20060905/.options /usr/lib/eclipse/plugins/org.eclipse.pde.build_3.2.1.r321_v20060823/.options /usr/lib/eclipse/plugins/org.eclipse.help.webapp_3.2.1.R321_v20060803/.options /usr/lib/eclipse/plugins/org.eclipse.ui.intro.universal_3.2.1.R321_v20060905/.options /usr/lib/eclipse/.eclipseproduct /lib/init/rw/.ramfs Tendré un el troyano ese instalado? ¿Como puedo ver los procesos ocultos? Aparte de los plugins de eclipse, le veis algo sospechoso a esos archivos? Chequeaste estos archivos? /usr/lib/xulrunner/.autoreg /lib/init/rw/.ramfs /usr/lib/iceweasel/.autoreg Para los procesos no sé si ps te ayudaría, pero sería buena idea probar con eso. Saludos. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Resultado de chkrootkit sospechoso
Pedro Jose Martin Cano wrote: ¿Cómo los testeo? Gracias En realidad te decía de chequearlos manualmente y ver de que trata. Ejecutá el comando file y ver lo que dicen. Además, si es el caso, podrías abrirlos con algún editor de texto y ver el contenido. Saludos. -- Miguel Da Silva Administrador de Red Centro de Matemática - http://www.cmat.edu.uy Facultad de Ciencias - http://www.fcien.edu.uy Universidad de la República - http://www.rau.edu.uy -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Resultado de chkrootkit sospechoso
Si pruebas con el rkhunter y lo ejecutas asi : # rkhunter - c --createlogfile archivo.log buscas luego en archivo.log la ruta de los posibles infectados; Lo primero seria borrar los mismos, que de seguro no se querran borrar pq tienen permisos especiales, si es así, prueba quitandolos con un chattr -ai file_infectado de ahi te dejará borrarlos. Seguramente el ps , el top netstat y algunos otros estan reemplazados, asi que no te mostrara todos los procesos reales, mejor si los reemplazas por ejecutables confiables de otro sistema. Sin embargo te recomiendo ir instalando otro sistema ya que si has sido vulnerado nunca se sabe si te han dejado algo corriendo y q el rkhunter o chkrrotkit no te lo detectan, estos detectres de rootkit buscan en rutas especificas y cabe la posibilidad q te hayan dejado algo en otras ubicaciones. Atte. Ronald - Pedro Jose Martin Cano escribió: ¿Cómo los testeo? Gracias Miguel Da Silva - Centro de Matemática escribió: Pedro Jose Martin Cano wrote: Realizando un análisis con chkrootkit ha detectado esto, y estoy realmente preocupado: eth1: PACKET SNIFFER(/sbin/dhclient3[3063]) Checking `lkm'... You have 2 process hidden for readdir command You have 2 process hidden for ps command chkproc: Warning: Possible LKM Trojan installed Searching for suspicious files and dirs, it may take a while... /usr/lib/xulrunner/.autoreg /usr/lib/jvm/java-1.5.0-sun-1.5.0.10/.systemPrefs /usr/lib/jvm/.java-1.5.0-sun.jinfo /usr/lib/iceweasel/.autoreg /usr/lib/eclipse/plugins/org.eclipse.platform.source_3.2.1.r321_v20060921-MGDh_08KUYM-Bvn/src/org.eclipse.ui.intro_3.2.1.R321_v20060810/.options /usr/lib/eclipse/plugins/org.eclipse.platform.source_3.2.1.r321_v20060921-MGDh_08KUYM-Bvn/src/org.eclipse.ui.intro.universal_3.2.1.R321_v20060905/.options /usr/lib/eclipse/plugins/org.eclipse.pde.build_3.2.1.r321_v20060823/.options /usr/lib/eclipse/plugins/org.eclipse.help.webapp_3.2.1.R321_v20060803/.options /usr/lib/eclipse/plugins/org.eclipse.ui.intro.universal_3.2.1.R321_v20060905/.options /usr/lib/eclipse/.eclipseproduct /lib/init/rw/.ramfs Tendré un el troyano ese instalado? ¿Como puedo ver los procesos ocultos? Aparte de los plugins de eclipse, le veis algo sospechoso a esos archivos? Chequeaste estos archivos? /usr/lib/xulrunner/.autoreg /lib/init/rw/.ramfs /usr/lib/iceweasel/.autoreg Para los procesos no sé si ps te ayudaría, pero sería buena idea probar con eso. Saludos. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Resultado de chkrootkit sospechoso
Me aparece esto: /usr/lib/xulrunner$ file .autoreg .autoreg: empty /usr/lib/xulrunner$ file /lib/init/rw/.ramfs /lib/init/rw/.ramfs: empty usr/lib/xulrunner$ file /usr/lib/iceweasel/.autoreg /usr/lib/iceweasel/.autoreg: empty Parece ser que están vacíos, lo cual significa que no pueden ser peligrosos.¿Los puedo borrar? Lo de los plugins de eclipse me parece normal. Lo que no me parece normal es lo de los dos procesos ocultos y el aviso del troyano. Gracias Miguel Da Silva - Centro de Matemática escribió: Pedro Jose Martin Cano wrote: ¿Cómo los testeo? Gracias En realidad te decía de chequearlos manualmente y ver de que trata. Ejecutá el comando file y ver lo que dicen. Además, si es el caso, podrías abrirlos con algún editor de texto y ver el contenido. Saludos. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Resultado de chkrootkit sospechoso
Pasando ahora rkhunter me aparece esto Trojan specific characteristics shv4 Checking /etc/rc.d/rc.sysinit[ Not found ] Checking /etc/inetd.conf [ Clean ] Checking /etc/xinetd.conf[ Skipped ] * Allround tests Checking hostname... Found. Hostname is debian Checking for passwordless user accounts... OK Checking for differences in user accounts... OK. No changes. Checking for differences in user groups... OK. No changes. Checking boot.local/rc.local file... - /etc/rc.local [ OK ] - /etc/rc.d/rc.local [ Not found ] - /usr/local/etc/rc.local[ Not found ] - /usr/local/etc/rc.d/rc.local [ Not found ] - /etc/conf.d/local.start[ Not found ] - /etc/init.d/boot.local [ Not found ] Checking rc.d files... [ Not found ] Checking history files Bourne Shell [ OK ] Filesystem checks Checking /dev for suspicious files... [ OK ] Scanning for hidden files... [ Warning! ] --- /etc/.pwd.lock /etc/.java /dev/.static /dev/.udev /dev/.initramfs /dev/.initramfs-tools --- Please inspect: /etc/.java (directory) /dev/.static (directory) /dev/.udev (directory) /dev/.initramfs (directory) Aunque en la tabla de resultados final me aparece todo correcto Y con chkrootkit -c aparece: ROOTDIR is `/' Checking `amd'... not found Checking `basename'... not infected Checking `biff'... not found Checking `chfn'... not infected Checking `chsh'... not infected Checking `cron'... not infected Checking `crontab'... not infected Checking `date'... not infected Checking `du'... not infected Checking `dirname'... not infected Checking `echo'... not infected Checking `egrep'... not infected Checking `env'... not infected Checking `find'... not infected Checking `fingerd'... not found Checking `gpm'... not found Checking `grep'... not infected Checking `hdparm'... not infected Checking `su'... not infected Checking `ifconfig'... not infected Checking `inetd'... not infected Checking `inetdconf'... not infected Checking `identd'... not found Checking `init'... not infected Checking `killall'... not infected Checking `ldsopreload'... not infected Checking `login'... not infected Checking `ls'... not infected Checking `lsof'... not infected Checking `mail'... not infected Checking `mingetty'... not found Checking `netstat'... not infected Checking `named'... not found Checking `passwd'... not infected Checking `pidof'... not infected Checking `pop2'... not found Checking `pop3'... not found Checking `ps'... not infected Checking `pstree'... not infected Checking `rpcinfo'... not infected Checking `rlogind'... not found Checking `rshd'... not found Checking `slogin'... not infected Checking `sendmail'... not infected Checking `sshd'... not found Checking `syslogd'... not infected Checking `tar'... not infected Checking `tcpd'... not infected Checking `tcpdump'... not infected Checking `top'... not infected Checking `telnetd'... not found Checking `timed'... not found Checking `traceroute'... not infected Checking `vdir'... not infected Checking `w'... not infected Checking `write'... not infected Checking `aliens'... no suspect files Searching for sniffer's logs, it may take a while... nothing found Searching for HiDrootkit's default dir... nothing found Searching for t0rn's default files and dirs... nothing found Searching for t0rn's v8 defaults... nothing found Searching for Lion Worm default files and dirs... nothing found Searching for RSHA's default files and dir... nothing found Searching for RH-Sharpe's default files... nothing found Searching for Ambient's rootkit (ark) default files and dirs... nothing found Searching for suspicious files and dirs, it may take a while... /usr/lib/xulrunner/.autoreg /usr/lib/jvm/java-1.5.0-sun-1.5.0.10/.systemPrefs /usr/lib/jvm/.java-1.5.0-sun.jinfo /usr/lib/iceweasel/.autoreg /usr/lib/eclipse/plugins/org.eclipse.platform.source_3.2.1.r321_v20060921-MGDh_08KUYM-Bvn/src/org.eclipse.ui.intro_3.2.1.R321_v20060810/.options /usr/lib/eclipse/plugins/org.eclipse.platform.source_3.2.1.r321_v20060921-MGDh_08KUYM-Bvn/src/org.eclipse.ui.intro.universal_3.2.1.R321_v20060905/.options /usr/lib/eclipse/plugins/org.eclipse.pde.build_3.2.1.r321_v20060823/.options /usr/lib/eclipse/plugins/org.eclipse.help.webapp_3.2.1.R321_v20060803/.options /usr/lib/eclipse/plugins/org.eclipse.ui.intro.universal_3.2.1.R321_v20060905/.options /usr/lib/eclipse/.eclipseproduct /lib/init/rw/.ramfs Searching for LPD Worm files and dirs... nothing found Searching for Ramen Worm files and dirs... nothing found Searching for Maniac
Re: Resultado de chkrootkit sospechoso
He leido que chkrootkit da falsos positivos para rootkits LKM. ¿Puede ser mi caso? El caso es que al hacer posteriores analisis, como habeis comprobado, no ha vuelto a sacarlo. ¿Puede ser ese el caso? -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Resultado de chkrootkit sospechoso
Por otra parte, con el nmap me aparecen estos puertos abiertos. ¿Cómo lo veis? Starting Nmap 4.11 ( http://www.insecure.org/nmap/ ) at 2007-02-23 23:10 CET Interesting ports on localhost (127.0.0.1): Not shown: 65527 closed ports PORT STATE SERVICE 25/tcpopen smtp 111/tcp open rpcbind 113/tcp open auth 631/tcp open ipp 2208/tcp open unknown 7741/tcp open unknown 46037/tcp open unknown 58668/tcp open unknown No exact OS matches for host (If you know what OS is running on it, see http://www.insecure.org/cgi-bin/nmap-submit.cgi). ---BeginMessage--- He leido que chkrootkit da falsos positivos para rootkits LKM. ¿Puede ser mi caso? El caso es que al hacer posteriores analisis, como habeis comprobado, no ha vuelto a sacarlo. ¿Puede ser ese el caso? ---End Message---
