Re: Troyano KLM
On Fri, Nov 23, 2001 at 07:12:12PM +0100, Jaume Sabater wrote: - Enas... o malas, para mi... Otra idea que te propongo: usa el parche de LIDS para el kernel. Es un parche que te permite sellar el kernel, y que ni siquiera el root pueda hacer ciertas cosas... yo lo tengo funcionando en máquinas en producción, y junto con el parche de openwall y junto con tripwire, tengo el sistema bastante más hardened Pon unas buenas reglas de cortafuegos con un buen log exportado a otra máquina con stunnel y junto con scanlogd se lo pondrás muy dificil a los intrusos :-) (no hay nada infalible, pero todo esto junto con un sistema con todos los parches de los demonios, te quita el 99% de las intrusiones) Venga, y ánimo. Que a todos se nos cuelan alguna vez... lo importante no es caerse, sino levantarse de la caída con mayor sabiduría Si tienes alguna dudilla más en esto de la seguridad, no dudes en mandarme un correito... Un saludo Javier Miguel Rodríguez Power Labs I+D www.power-labs.com -- Javier Miguel Rodríguez (GUFO) Powered by Linux 2.4.15
Re: Troyano KLM
Jaume Sabater, [EMAIL PROTECTED]:12:12(+0100): Estoy ahora revisando todos los archivos con fecha reciente de modificación (no se si el malditor troyano es capaz de modificar archivos sin modificar la fecha de modificación) Sí, se puede. Primero se modifica el archivo y luego con touch (o con la llamada al sistema correspondiente) se pone la fecha de modificación como estaba antes. Te diría que alguien te pasara un binario del dpkg, otro del wget y otro del md5sum compilados estáticamente. Te bajas todos los paquetes, compruebas el md5sum y a reinstalar por encima. Por supuesto, con tu núcleo nuevo. -- David Serrano [EMAIL PROTECTED] - Linux Registered User #87069
Troyano KLM
Enas... o malas, para mi... Tengo un servidor potato (antes tenia el kernel 2.2.17) al que le han metido el troyano KLM (segun me dice el chkrootkit-0.34). El caso es que tenia un proceso oculto y un inodo oculto (no se si los sigo teniendo, ahora no me dice nada el chkrootkit). Además, he recibido una llamada diciéndome que mi máquina es una tumbamáquinas nocturna, de 2 a 3 (segun me han dicho) se dedica a escanear puertos de otras máquinas y cosas por el estilo. Segun me he enterado, ese troyano es en realidad un módulo del kernel. De ahí su capacidad para ocultarse (no sale en /proc). Como medida urgente he compilao, en otra potato, el 2.2.20 _sin_ soporte de módulos, de forma que el supuesto módulo troyano no se pueda cargar. Además, he revisado todos los archivos setuid y setgid, al parecer ninguno de ellos ha sido modificado. Tampoco lo han sido los que comprueba el chkrootkit (tengo los ojos chinos de tanto leer md5sums). Estoy ahora revisando todos los archivos con fecha reciente de modificación (no se si el malditor troyano es capaz de modificar archivos sin modificar la fecha de modificación) También he puesto un firewall delante de esta máquina para loguear todos los paquetes, a ver que hace esta noche... El caso es que dicha máquina no se encuentra en mis instalaciones sinó a unos 30Km, en otra empresa, y para colmo no tiene unidad de cdrom; por lo que una reinstalación a piñón se me hace muy difícil. Es por eso que si me podeis ayudar en algo, si sabeis algo mas que yo de dicho troyano, si me podeis decir algo que hacer, etc... porfavor, decidmelo, ando algo perdido. -- Jaume Sabater - Aquí hi va una firma -
Re: Troyano KLM
El vie, 23 de nov de 2001, Jaume Sabater escribió... Enas... o malas, para mi... Tengo un servidor potato (antes tenia el kernel 2.2.17) al que le han metido el troyano KLM (segun me dice el chkrootkit-0.34). El caso es que tenia un proceso oculto y un inodo oculto (no se si los sigo teniendo, ahora no me dice nada el chkrootkit). Además, he recibido una llamada diciéndome que mi máquina es una tumbamáquinas nocturna, de 2 a 3 (segun me han dicho) se dedica a escanear puertos de otras máquinas y cosas por el estilo. Segun me he enterado, ese troyano es en realidad un módulo del kernel. De ahí su capacidad para ocultarse (no sale en /proc). Como medida urgente he compilao, en otra potato, el 2.2.20 _sin_ soporte de módulos, de forma que el supuesto módulo troyano no se pueda cargar. Además, he revisado todos los archivos setuid y setgid, al parecer ninguno de ellos ha sido modificado. Tampoco lo han sido los que comprueba el chkrootkit (tengo los ojos chinos de tanto leer md5sums). Estoy ahora revisando todos los archivos con fecha reciente de modificación (no se si el malditor troyano es capaz de modificar archivos sin modificar la fecha de modificación) También he puesto un firewall delante de esta máquina para loguear todos los paquetes, a ver que hace esta noche... El caso es que dicha máquina no se encuentra en mis instalaciones sinó a unos 30Km, en otra empresa, y para colmo no tiene unidad de cdrom; por lo que una reinstalación a piñón se me hace muy difícil. Es por eso que si me podeis ayudar en algo, si sabeis algo mas que yo de dicho troyano, si me podeis decir algo que hacer, etc... porfavor, decidmelo, ando algo perdido. Hola he encontrado esto en google http://www.duho.cjb.net/KB/advanced/rootkit/linux-lkm.htm y hace poco dieron una charla en el IRC (creo que en #root) de como implementarlos. Yo no soy sysadmin ni nada por el estilo pero creo que lo más conveniente es desconectar la máquina de Internet si ha sido comprometida y estudiar la situación in situ. Un saludo, Manuel.
