Un troyano?
Estando trabajando, de repente el sistema se ha ralentizado mucho y el led del disco duro se ha pyuesto a funcionar. El escritorio (KDE) casi se ha congelado. He optado por salir del KDE y volver a entrar. He mirado el syslog, pero poruna parte no lo sé interpretar bien y por otra todo se repite de día en día, lo que me hace pensar que no ha habido nada extraño. Se me ha ocurrido aplicar el chkrootkit y me da todo normal salvo esto: Checking `sshd'... /usr/bin/strings: Warning: '/' is not an ordinary file not infected Checking `lkm'... You have10 process hidden for readdir command You have10 process hidden for ps command Warning: Possible LKM Trojan installed ¿Alguien tiene idea de cómo puedo resolver el tema y de si verdaderamente es grave? ¿Qué procesos pueden estar en marcha no visibles para el comando ps? ¿Cómo localizarlos y pararlos? Muchas gracias de antemano, Josep PD: No estoy en ninguna red. Me conecto a internet por medio de un módem dial-up de 56k.
Un troyano ??
Hola: El tema es el siguiente, pasé el chkrootkit a mi pc y me salió esto: *** Checking `lkm'... You have 2 process hidden for readdir command You have 2 process hidden for ps command Warning: Possible LKM Trojan installed *** Bien, si es cierto que me pusieron un *bicho*, como lo remuevo ? Gracias por anticipado. -- Saludetes OM Is í an toírneach a scanríonn ach an tintreach a mharaíonn Powered by Debian GNU/Linux Woody - kernel 2.4.18 -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Un troyano?
Mirando informaciones por el google he leído que convenía localizar los procesos ocultos y compararlos con los del archivo /proc. Más abajo indico los procesos ocultos que he detectado. Ninguno de ellos está en el /proc... pero claro, es que tampoco entiendo exacatamente qué relación debería de haber entre uno y otro. Disculpad mi ignorancia: ¿pero no se dice que Linux es inmune a los virus? Josep [EMAIL PROTECTED]:/usr/sbin$ sudo ./chkrootkit -x lkm ROOTDIR is `/' ### ### Output of: ./chkproc -v -v ### PID 823: not in readdir output PID 823: not in ps output CWD 823: /var/cache/bind EXE 823: /usr/sbin/named PID 824: not in readdir output PID 824: not in ps output CWD 824: /var/cache/bind EXE 824: /usr/sbin/named PID 825: not in readdir output PID 825: not in ps output CWD 825: /var/cache/bind EXE 825: /usr/sbin/named PID 833: not in readdir output PID 833: not in ps output CWD 833: / EXE 833: /usr/sbin/lwresd PID 834: not in readdir output PID 834: not in ps output CWD 834: / EXE 834: /usr/sbin/lwresd PID 835: not in readdir output PID 835: not in ps output CWD 835: / EXE 835: /usr/sbin/lwresd PID 996: not in readdir output PID 996: not in ps output CWD 996: /var/lib/mysql EXE 996: /usr/sbin/mysqld PID 997: not in readdir output PID 997: not in ps output CWD 997: /var/lib/mysql EXE 997: /usr/sbin/mysqld PID 3631: not in readdir output PID 3631: not in ps output CWD 3631: /home/josep EXE 3631: /usr/local/mozilla-v1.6/mozilla-bin PID 3632: not in readdir output PID 3632: not in ps output CWD 3632: /home/josep EXE 3632: /usr/local/mozilla-v1.6/mozilla-bin You have10 process hidden for readdir command You have10 process hidden for ps command
Re: Un troyano?
|| || Disculpad mi ignorancia: ¿pero no se dice que Linux es inmune a los virus? || || Josep Níngún sistema es inmune a los virus informáticos. Ten en cuenta que un virus no deja de ser un programa. Lo que si es verdad es que hay muy pocos virus que funcionen en linux. La mayoría son sólo win32 compatible xDDD. Saludos.
Re: Un troyano?
El Tue, Nov 16, 2004 at 12:11:02AM +0100, Josep Ysern dixit: > Mirando informaciones por el google he leído que convenía localizar los > procesos ocultos y compararlos con los del archivo /proc. Más abajo indico > los procesos ocultos que he detectado. Ninguno de ellos está en el /proc... > pero claro, es que tampoco entiendo exacatamente qué relación debería de > haber entre uno y otro. > > Disculpad mi ignorancia: ¿pero no se dice que Linux es inmune a los virus? > A los que vienen en .exe atacheados a tus mails si. Obviamente, todos los que esteén diseñados para windows (es decir, la mayoria) no le harán ni cosquillas. Sin embargo, tambien pueden existir virus en linux o troyanos, o demás programas maliciosos. ¿Ventaja fretne a windows? pues que las cosas de permisos están mucho mas controladas y probablemente, si administras tu sistema medio bien, no tendrás muchos problemas, pero sí que puede haber virus, gente que se aproveche de fallos en la programación de algo para entrar... Mira: Una manera de acceder a sistemas windows es con el nbtstat (vamos, samba). Obviamente, si tu tienes samba compartiendo en tu linux, también vas a ser accesible (exactamente igual que con windows). Sin embargo, en linux, probablemente, tendrás una contraseña relativamente compleja ¿me equivoco?. En windows, tu puedes entrar al sistema como "Administrador", sin contraseña y ponerte a compartir cosas => accesible. En linux esto es más dificil de hacer (pero vamos, si te empeñas, puedes hacer tu sistema vulnerable). Es más dificil que te entren virus, porque tu te bajas tus programas de unos sources mas o menos fiables, los .exe no le hacen nada... pero vaya, sí que puede haber, claro que puede haber. ¿O no?. Vamos... digo. Que no se. > Josep > > > [EMAIL PROTECTED]:/usr/sbin$ sudo ./chkrootkit -x lkm > ROOTDIR is `/' > ### > ### Output of: ./chkproc -v -v > ### > PID 823: not in readdir output > PID 823: not in ps output > CWD 823: /var/cache/bind > EXE 823: /usr/sbin/named > PID 824: not in readdir output > PID 824: not in ps output > CWD 824: /var/cache/bind > EXE 824: /usr/sbin/named > PID 825: not in readdir output > PID 825: not in ps output > CWD 825: /var/cache/bind > EXE 825: /usr/sbin/named > PID 833: not in readdir output > PID 833: not in ps output > CWD 833: / > EXE 833: /usr/sbin/lwresd > PID 834: not in readdir output > PID 834: not in ps output > CWD 834: / > EXE 834: /usr/sbin/lwresd > PID 835: not in readdir output > PID 835: not in ps output > CWD 835: / > EXE 835: /usr/sbin/lwresd > PID 996: not in readdir output > PID 996: not in ps output > CWD 996: /var/lib/mysql > EXE 996: /usr/sbin/mysqld > PID 997: not in readdir output > PID 997: not in ps output > CWD 997: /var/lib/mysql > EXE 997: /usr/sbin/mysqld > PID 3631: not in readdir output > PID 3631: not in ps output > CWD 3631: /home/josep > EXE 3631: /usr/local/mozilla-v1.6/mozilla-bin > PID 3632: not in readdir output > PID 3632: not in ps output > CWD 3632: /home/josep > EXE 3632: /usr/local/mozilla-v1.6/mozilla-bin > You have10 process hidden for readdir command > You have10 process hidden for ps command > > > -- > To UNSUBSCRIBE, email to [EMAIL PROTECTED] > with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED] -- Diplomacia es el arte de decir "bonito perrito"... hasta que puedas encontrar una piedra. Calentico 2.4.25 GNU/Linux signature.asc Description: Digital signature
Re: Un troyano?
Gracias por tu respuesta, pero todo esto viene del aviso que me ha dado el chkrootkit ese, que de hecho no entiendo. Mi linux es el de una estación de trabajo. Mi ordenador no es un servidor y se conecta a ineternet a través de un modem patatero, de 56k, dial-up. No estoy en red (tengo el samba instalado, pero no em conecto a ninguna máquina con windows). Acabo de escanear sus puertos conectándome a http://scan.sygatetech.com/trojanscan.html Todas las pruebas realizadas desde ahí me dan negativo -incluso la detección de troyanos-... ¿Qué debo hacer entonces? ¿Me fío delr esultado de ese programa -toda esa ristra de programas corriendo sin ser detectados por ps-? Tengo un cortafuegos sencillito configurado -aunque no pondría la mano en el fuego sobre que esté bien configurado-... Algo debe hacer, porque cuando no lo tenía, la web que te acabo de indicar antes me decía que tenía determinados puertos abiertos. Ahora me dice que están todos "blocked"... Y yo soy casi el único usuario... ¿Se ha podido colar un virus? ¿Cómo? En fin... ¿Me rcomendáis alguna cosa a partir de los datos de más abajo? Gracias de antemano, Josep A Dimarts 16 Novembre 2004 00:27, El borrajudo rampante vau escriure: > A los que vienen en .exe atacheados a tus mails si. Obviamente, todos > los que esteén diseñados para windows (es decir, la mayoria) no le harán > ni cosquillas. Sin embargo, tambien pueden existir virus en linux o > troyanos, o demás programas maliciosos. ¿Ventaja fretne a windows? pues > que las cosas de permisos están mucho mas controladas y probablemente, > si administras tu sistema medio bien, no tendrás muchos problemas, pero > sí que puede haber virus, gente que se aproveche de fallos en la > programación de algo para entrar... Mira: Una manera de acceder a > sistemas windows es con el nbtstat (vamos, samba). Obviamente, si tu > tienes samba compartiendo en tu linux, también vas a ser accesible > (exactamente igual que con windows). Sin embargo, en linux, > probablemente, tendrás una contraseña relativamente compleja ¿me > equivoco?. En windows, tu puedes entrar al sistema como "Administrador", > sin contraseña y ponerte a compartir cosas => accesible. En linux esto > es más dificil de hacer (pero vamos, si te empeñas, puedes hacer tu > sistema vulnerable). Es más dificil que te entren virus, porque tu te > bajas tus programas de unos sources mas o menos fiables, los .exe no le > hacen nada... pero vaya, sí que puede haber, claro que puede haber. > > ¿O no?. Vamos... digo. Que no se. > > > Josep > > > > > > [EMAIL PROTECTED]:/usr/sbin$ sudo ./chkrootkit -x lkm > > ROOTDIR is `/' > > ### > > ### Output of: ./chkproc -v -v > > ### > > PID 823: not in readdir output > > PID 823: not in ps output > > CWD 823: /var/cache/bind > > EXE 823: /usr/sbin/named > > PID 824: not in readdir output > > PID 824: not in ps output > > CWD 824: /var/cache/bind > > EXE 824: /usr/sbin/named > > PID 825: not in readdir output > > PID 825: not in ps output > > CWD 825: /var/cache/bind > > EXE 825: /usr/sbin/named > > PID 833: not in readdir output > > PID 833: not in ps output > > CWD 833: / > > EXE 833: /usr/sbin/lwresd > > PID 834: not in readdir output > > PID 834: not in ps output > > CWD 834: / > > EXE 834: /usr/sbin/lwresd > > PID 835: not in readdir output > > PID 835: not in ps output > > CWD 835: / > > EXE 835: /usr/sbin/lwresd > > PID 996: not in readdir output > > PID 996: not in ps output > > CWD 996: /var/lib/mysql > > EXE 996: /usr/sbin/mysqld > > PID 997: not in readdir output > > PID 997: not in ps output > > CWD 997: /var/lib/mysql > > EXE 997: /usr/sbin/mysqld > > PID 3631: not in readdir output > > PID 3631: not in ps output > > CWD 3631: /home/josep > > EXE 3631: /usr/local/mozilla-v1.6/mozilla-bin > > PID 3632: not in readdir output > > PID 3632: not in ps output > > CWD 3632: /home/josep > > EXE 3632: /usr/local/mozilla-v1.6/mozilla-bin > > You have10 process hidden for readdir command > > You have10 process hidden for ps command > > > > > > -- > > To UNSUBSCRIBE, email to [EMAIL PROTECTED] > > with a subject of "unsubscribe". Trouble? Contact > > [EMAIL PROTECTED]
Re: Un troyano?
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Josep Ysern wrote: | ¿Se ha podido colar un virus? ¿Cómo? En fin... ¿Me rcomendáis alguna cosa a | partir de los datos de más abajo? Tal vez no sea un virus, si no un troyano, los procesos que yo sepa no se ocultan asi como asi. Recomendacion, busca un "ps" que sea confiable (de una instalacion fresca), tanto como un "ls", "find", etcetera y quemalos en un CD, desde donde los ejecutaras en la PC que tiene ocultos procesos y asi sabras cuales son. Trata de mantener actualizado el sistema, y si crees que le instalaron algo raro, pues un analisis forense no estaria mal. Saludos, - -- Christian Frausto Bernal http://www.conocimientopractico.com http://www.conpra.com/cfrausto.gpg -BEGIN PGP SIGNATURE- Version: GnuPG v1.2.4 (GNU/Linux) Comment: Using GnuPG with Debian - http://enigmail.mozdev.org iD8DBQFBmWAbn9a3KM4uVGwRAiCvAJ9yDbk0CKPzE7yE/8JQIgMsMC4FMACfXROg LUWfH0lvptx2oFjN+xcJ3s4= =uajl -END PGP SIGNATURE-
Re: Un troyano?
--- Josep Ysern <[EMAIL PROTECTED]> escribió: Hola > Estando trabajando, de repente el sistema se ha > ralentizado mucho y el led del > disco duro se ha pyuesto a funcionar. Eso es natural, hay muchos procesos que los que empaquetan debian programan para ejecución con cron; hay uno particularmente demandante, que es find ejecutado por el usuario ´nobody', el cual puede ralentizar todo tu sistema, sobre todo si no has optimizado tu disco duro con hdparm. Nobody es un usuario autorizado, no te preocupes, está diseñado para tareas domésticas. > (KDE) casi se ha > congelado. He optado por salir del KDE y volver a > entrar. He mirado el > syslog, pero poruna parte no lo sé interpretar bien > y por otra todo se repite > de día en día, lo que me hace pensar que no ha > habido nada extraño. Se me ha > ocurrido aplicar el chkrootkit y me da todo normal > salvo esto: > > > Checking `sshd'... /usr/bin/strings: Warning: '/' is > not an ordinary file > not infected > Checking `lkm'... You have10 process hidden for > readdir command > You have10 process hidden for ps command > Warning: Possible LKM Trojan installed > > ¿Alguien tiene idea de cómo puedo resolver el tema y > de si verdaderamente es > grave? ¿Qué procesos pueden estar en marcha no > visibles para el comando ps? > ¿Cómo localizarlos y pararlos? No soy experto en seguridad - es más no soy experto en nada ;-) - pero por algún lugar leí que ps no es capaz de leer ciertos procesos, y que son estos mismos procesos los que son reportados como ocultos por chkrootkit. Por ejemplo en mi caja debian, ejecutando chkrootkit encuentro 5 procesos escondidos para readdir y ps, y eso que hace sólo 3 días he reinstalado todo de nuevo sólo porque estaba aburrido y no tenía nada que hacer :-) Por otro lado, si la paranoia te agobia, instala 'lsof', que es un programa confiable que te muestra todos los archivos abiertos, usuario y pid respectivo. > > Muchas gracias de antemano, > Ojalá te sirva ! > Josep > > PD: No estoy en ninguna red. Me conecto a internet > por medio de un módem > dial-up de 56k. > PD: Si usas dial-up, la probabilidad de que un script-kiddie ( adolescente varón con problemas de autoestima y transtorno antisocial de la personalidad ) haya husmeado tu caja y haya instalado un rootkit ( troyanos ) es remota... Echale un vistazo a la página oficial de chkrootkit para más información acerca de este tipo de troyanos _ Do You Yahoo!? Información de Estados Unidos y América Latina, en Yahoo! Noticias. Visítanos en http://noticias.espanol.yahoo.com
Re: Un troyano?
Respondo aquí tanto a Julio como a Christian. De entrada gracias por vuestras respuestas. Lo de la ralentización del sistema hasta ese extremo es la primera vez que me pasa. Sí tengo activado el hdparm, aunque sólo ahora le he activado "multcount". Otras opciones suyas no em atrevo ni a mirarlas... El lsof me da la lista de programas, pero, en principio no sé ver nada extraño... Lo que me dices respecto a lo del dial-up me tranquiliza un tanto. Por lo demás, el rootkit ¿sería peligroso para mí mismo o sólo en caso de que mi máquina se convirtiera en servidor -cosa que ni es ni va a ser-? Por mi parte, alguna vez había corrido el chkrootkit por probar y nunca me había dado ninguna señal de peligro. Por lo demás, Christian me indica que a lo mejor no es un virus sino un troyano... ¿Pero un troyano no es un tipo de virus? Al menos así me parecía entenderlo del uso de antivirus en windows... Además, el chkrootkit me indica, precisamente, que es el "troyano" LKM... y en el correo anterior ya indicaba la lista de programas que escapan al ps. Los he sacdo realizando un ./chkrootkit -x sobre el directorio donde está (creo que era /usr/sbin). La verdad es que ya empiezo a liarme y quizás lo meto todo en el mismo saco. ¿Qué diferencia hay entre un troyano y un virus? Por lo demás, mi sistema está relativamente actualizado... Lo hago de tarde en tarde, porque mi conexión es lenta. Un simple apt-get update me puede costar una hora o más. Los upgrade o dist-upgrade me pueden costar, según el nivel de descarga, de 10 a veinte horas -menos mal que tengo tarifa plana...-. En fin... Ya me contaréis alguna cosa. Gracias por vuestra ayuda de antemano Cordialmente, Josep
Re: Un troyano?
On Mon, Nov 15, 2004 at 07:04:11PM -0700, Christian Frausto Bernal wrote: > -BEGIN PGP SIGNED MESSAGE- > Hash: SHA1 > > Josep Ysern wrote: > | ¿Se ha podido colar un virus? ¿Cómo? En fin... ¿Me rcomendáis alguna > cosa a > | partir de los datos de más abajo? > > Tal vez no sea un virus, si no un troyano, los procesos que yo sepa no > se ocultan asi como asi. > > Recomendacion, busca un "ps" que sea confiable (de una instalacion > fresca), tanto como un "ls", "find", etcetera y quemalos en un CD, desde > donde los ejecutaras en la PC que tiene ocultos procesos y asi sabras > cuales son. > > Trata de mantener actualizado el sistema, y si crees que le instalaron > algo raro, pues un analisis forense no estaria mal. > > Saludos, Revisa los historicos de la lista, hace poco se hablo de algo asi, relacionado con una version antigua de chrootkit, no con algun lkm en realidad, quizas sea tu caso. -- Ricardo A.Frydman Analista de Sistemas de Computación http://www.eureka-linux.com.ar (POR FAVOR! NO envie documentos en formato Word http://breu.bulma.net/?l3192 Gracias!!!) pgpox3dmpt7bR.pgp Description: PGP signature
Re: Un troyano?
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Josep Ysern wrote: | Por lo demás, Christian me indica que a lo mejor no es un virus sino un | troyano... ¿Pero un troyano no es un tipo de virus? Al menos así me parecía | entenderlo del uso de antivirus en windows... Además, el chkrootkit me | indica, precisamente, que es el "troyano" LKM... y en el correo anterior ya | indicaba la lista de programas que escapan al ps. Los he sacdo realizando | un ./chkrootkit -x sobre el directorio donde está (creo que era /usr/sbin). | La verdad es que ya empiezo a liarme y quizás lo meto todo en el mismo saco. | ¿Qué diferencia hay entre un troyano y un virus? Tienes toda la razon, el confundido soy yo, el troyano es un tipo de virus, a lo que me queria referir es un rootkit, lo que menciona Julio. Saludos, - -- Christian Frausto Bernal http://www.conocimientopractico.com http://www.conpra.com/cfrausto.gpg -BEGIN PGP SIGNATURE- Version: GnuPG v1.2.4 (GNU/Linux) Comment: Using GnuPG with Debian - http://enigmail.mozdev.org iD8DBQFBmjqbn9a3KM4uVGwRAjT1AJ9kXOoPxf8apwXtrL1Il1ue3QrY1ACdHCWC xISZlCskNVGDZM6OKsady+k= =W5RG -END PGP SIGNATURE-
Re: Un troyano?
El Lun 15 Nov 2004 18:58, Josep Ysern escribió: > Estando trabajando, de repente el sistema se ha ralentizado mucho y el led > del disco duro se ha pyuesto a funcionar. El escritorio (KDE) casi se ha > congelado. He optado por salir del KDE y volver a entrar. He mirado el > syslog, pero poruna parte no lo sé interpretar bien y por otra todo se > repite de día en día, lo que me hace pensar que no ha habido nada extraño. > Se me ha ocurrido aplicar el chkrootkit y me da todo normal salvo esto: > > > Checking `sshd'... /usr/bin/strings: Warning: '/' is not an ordinary file > not infected > Checking `lkm'... You have 10 process hidden for readdir command > You have 10 process hidden for ps command > Warning: Possible LKM Trojan installed Si has instalado el chkrootkit que viene con Sarge, por ej. (una versión que termina en 3, creo) tiene un conocido problema comentado en esta lista hace poco. A mí me detectaba 52 procesos ocultos, y descubrí que correspondían al Apache que tenía de prueba. Bajé de la página de chkrootkit la nueva versión y no señaló nada raro. O sea: bug del programa, bah. Suerte Ricardo
Re: Un troyano?
Gracias por tus comentarios. De momento, como ya he dicho en otro mensaje, he aplicado el rkhunter y todo parece en orden. No conocía el clamav, del que me hablas, y he intentado descargármelo, pero parece que hay algún problema de red porque me ha dado el error 404 -de dirección "no encontrada"-. Ya probaré más tarde. Gracias, pues. Cordialmente, Josep A Dissabte 20 Novembre 2004 13:04, R.R.R. vau escriure: > Hola: > Sólo quería comentarte que te olvides un poco del chkrootkit. A mí me > volvió loco hace un tiempo, y de la paranoia que me entró reinstalé todo. > Posteriormente fui viendo que el chkrootkit me detectaba un puerto abierto, > el 3049, con infección de bindshell, y era todo absolutamente falso. No > digo que no fuera cierto, sino que no correspondía a ninguna infección de > troyano ni nada parecido, sino a un demonio que ejecuto, correspondiente al > Cryptographic File System (cfsd) Si lo paro, deja de detectar esa infección > y ese puerto desaparece. Y el programa es fiable, no lo he descargado de > ningún sitio "raro", sino de los repositorios habituales. En mi caso, > después de haber reinstalado todo de cero, como te recomiendan en muchos > sitios tras una situación como ésta, averigüé cuál era el origen, me acordé > unos cuantos santos, y pasé el clamav a todo el sistema. No localizó nada, > salvo el rootkit suckit, que había guardado en el disco mientras trataba de > encontrar el origen de mi supuesta infección, y es que en una de las > páginas que consulté venía incluso el código fuente del "virusillo". La > guardé entera en el disco y por eso clamav detectó el rootkit. Pero el > resto del sistema... limpio. Así que lo que me diga el chkrootkit, lo dejo > en cuarentena o doble cuarentena, porque de otra manera estaría > reinstalando cada dos por tres. Y por cierto, uso Sid, con la versión 0.43 > aunque acabo de comprobar que desde el 1 de Septiembre tienen disponible > para descarga desde www.chkrootkit.org la versión 0.44 Saludos
Re: Un troyano?
gente: se que hace tiempo varios dias que estuvo este thread vigente, pero como habran visto, estoy contestando mails viejos porque me estoy poniendo al dia, y solamente queria comentar mi opinion al respecto. josep: Por otro lado, si la paranoia te agobia, instala 'lsof', que es un programa confiable que te muestra todos los archivos abiertos, usuario y pid respectivo. no es por contradecir a julio, pero bajo ciertas condiciones, esto no es asi. supongamos que realmente josep tiene instalado un rootkit, y que tenia instalado lsof, seguramente lo va a tener rootkiteado (perdor por la palabra), por lo cual lsof va a brindar informacion erronea. ahora supongamos otro caso, tiene un rootkit instalado pero no tiene lsof, asi que ejecuta desde la consola # apt-get install lsof, pero aqui va la cuestion, si el sistema tiene un nivel tal de instrusion, puede que incluso el apt este infectado por lo que no tome los sources oficiales de debian para descargar lsof, sino que lo baje desde un sitio maligno, por lo que bajaria un binario lsof rootkiteado, me explico? PD: Si usas dial-up, la probabilidad de que un script-kiddie ( adolescente varón con problemas de autoestima y transtorno antisocial de la personalidad ) haya husmeado tu caja y haya instalado un rootkit ( troyanos ) es remota... desde mi punto de vista esto tambien es falso. porque tu modem va a tener una ip publica visible desde todo internet, por lo que vas a estar muy expuesto. no asi si te conectaras a internet a traves de un servidor que hace nat o proxy. saludos, velkro.
Re: Un troyano?
Gracias por volver sobre el tema, pero ya habrás visto que, en un correo del hilo, mencionaba el programa rkhunter, que no me descubrió ninguna amenaza, lo que me tranquilizó bastante. Cordialmente, Josep A Dimarts 21 Desembre 2004 16:26, [EMAIL PROTECTED] vau escriure: > gente: > se que hace tiempo varios dias que estuvo este thread vigente, pero > como habran visto, estoy contestando mails viejos porque me estoy poniendo > al dia, y solamente queria comentar mi opinion al respecto.
Re: Un troyano?
Hola lista otra vez! Me permito responder a algunas afirmaciones, no con ánimo vindicativo, sino en aras de la claridad... > > Por otro lado, si la paranoia te agobia, instala > 'lsof', que es un programa > confiable que te muestra todos los archivos > abiertos, usuario y pid > respectivo. > > > no es por contradecir a julio, pero bajo ciertas > condiciones, esto no es > asi. supongamos que realmente josep tiene instalado > un rootkit, y que tenia > instalado lsof, seguramente lo va a tener > rootkiteado (perdor por la > palabra), por lo cual lsof va a brindar informacion > erronea. ahora > supongamos otro caso, tiene un rootkit instalado > pero no tiene lsof, asi que > ejecuta desde la consola # apt-get install lsof, > pero aqui va la cuestion, > si el sistema tiene un nivel tal de instrusion, > puede que incluso el apt > este infectado por lo que no tome los sources > oficiales de debian para > descargar lsof, sino que lo baje desde un sitio > maligno, por lo que bajaria > un binario lsof rootkiteado, me explico? Bueno, pues desde este punto de vista - muy sombrío por cierto - tienes toda la razón. Aunque teóricamente, para que ocurra eso deben confluir muchos eventos astrales al mismo tiempo: (1)Un cracker brillante, (2)interés en tu PC, (3)un fallo de seguridad aprovechable, (4)conexión a tu PC abierta por tiempo suficiente que le permita al cracker aprovechar este fallo, (5)un rootkit que incluya además de los troyanos estándar (como ls, ps, top, netstat) un lsof y un apt-get que descargue desde un sitio preparado por el cracker. Difícil, es cierto, pero no imposible > > > > PD: Si usas dial-up, la probabilidad de que un > script-kiddie ( adolescente > varón con problemas de autoestima y transtorno > antisocial de la > personalidad ) haya husmeado tu caja y haya > instalado un rootkit ( > troyanos ) es remota... > > > desde mi punto de vista esto tambien es falso. > porque tu modem va a tener > una ip publica visible desde todo internet, por lo > que vas a estar muy > expuesto. no asi si te conectaras a internet a > traves de un servidor que > hace nat o proxy. > También correcto desde este punto de vista. Mi objetivo al escribir esto era darle un poco de salud mental a josep ;-) Moraleja: la seguridad no es un juego: con tiempo suficiente, eventualmente "alguien" nos espiará, con suerte por pura curiosidad, con mala suerte instalará un apt-get troyanizado. Así que la cuestión no es cómo, sino cuándo. Ten miedo... mucho miedo. ;-) _ Do You Yahoo!? Información de Estados Unidos y América Latina, en Yahoo! Noticias. Visítanos en http://noticias.espanol.yahoo.com
Re: Un troyano ??
Omar Murray escribió: Hola: El tema es el siguiente, pasé el chkrootkit a mi pc y me salió esto: *** Checking `lkm'... You have 2 process hidden for readdir command You have 2 process hidden for ps command Warning: Possible LKM Trojan installed *** Bien, si es cierto que me pusieron un *bicho*, como lo remuevo ? Gracias por anticipado. Con tu mensaje me ha dado la neura, y he pasado el chkrootkit al mío, también, y con un resultado parecido, de modo que miré en google, y, al parercer es algo bastante común conseguir ese warning. A pesar de que algunos de los casos que vi eran verdaderos, en otros el problema se debía a que chkrootkit no utiliza el modo óptimo para buscar esos procesos «ocultos» (lo siento, pero ya no me acuerdo en más detalle de lo que acabo de leer). Quédate con la idea de que no tiene por qué haber un troyano en tu equipo, aunque no descartes una revisión más a fondo. Yo busqué LKM Trojan en google y ya me apareció toda la información (entre otras cosas, bastantes listas de correo :D ) -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Un troyano ??
Creo que hace un tiempo se dijo que este error (o uno muy parecido) podia venir por un bug por el chkrootkit. Yo me instale la version de la pagina chkrootkit.ort (compilé pero vamos, que es muy facil, porque para que lo que haga yo...) y no me ha dicho nada de posbles troyanos ni na de na. Espero que sea esto, poque si no es como la peli de Me-Raya... "tienes un troyano" bueno... era un imail pero para el caso, patatas... - Original Message - From: "Simon Pena" <[EMAIL PROTECTED]> To: "Lista Debian" Sent: Tuesday, February 08, 2005 2:45 AM Subject: Re: Un troyano ?? > Omar Murray escribió: > > Hola: > > El tema es el siguiente, pasé el chkrootkit a mi pc y me salió esto: > > > > *** > > > > Checking `lkm'... You have 2 process hidden for readdir command > > You have 2 process hidden for ps command > > Warning: Possible LKM Trojan installed > > > > *** > > > > Bien, si es cierto que me pusieron un *bicho*, como lo remuevo ? > > > > Gracias por anticipado. > > > Con tu mensaje me ha dado la neura, y he pasado el chkrootkit al mío, > también, y con un resultado parecido, de modo que miré en google, y, al > parercer es algo bastante común conseguir ese warning. A pesar de que > algunos de los casos que vi eran verdaderos, en otros el problema se > debía a que chkrootkit no utiliza el modo óptimo para buscar esos > procesos «ocultos» (lo siento, pero ya no me acuerdo en más detalle de > lo que acabo de leer). Quédate con la idea de que no tiene por qué haber > un troyano en tu equipo, aunque no descartes una revisión más a fondo. > Yo busqué LKM Trojan en google y ya me apareció toda la información > (entre otras cosas, bastantes listas de correo :D ) > > > -- > To UNSUBSCRIBE, email to [EMAIL PROTECTED] > with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED] > > -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Un troyano ??
Tal que el Tue, 8 Feb 2005 03:35:36 +0100 "Borrajudo carajudo" <[EMAIL PROTECTED]> tuvo a bien escribir: > Creo que hace un tiempo se dijo que este error (o uno muy parecido) podia > venir por un bug por el chkrootkit. Yo me instale la version de la pagina > chkrootkit.ort (compilé pero vamos, que es muy facil, porque para que lo que > haga yo...) y no me ha dicho nada de posbles troyanos ni na de na. > > Espero que sea esto, poque si no es como la peli de Me-Raya... "tienes un > troyano" bueno... era un imail pero para el caso, patatas... Probablemente fui yo. Me pasó lo mismo que a Omar. Un día, ejecutando el chkrootkit me avisa de posibles intrusiones y demás. Después de mucho mirar por ahí decidí pasar el clamav al sistema enterito, y me avisó de varios virus que tenía en el correo, pero ningún troyano ni nada parecido. Es cierto que en el proceso aprendí unas cuantas cosas. Una de ellas es la de "no nos apresuremos, desconectemos la red y pensemos un rato..." Además, chkrootkit no es el único "comprobador" contra rootkits. Probar otros tampoco está de más. Si finalmente se confirma la intrusión, formateo salvaje o recuperación desde un backup _S E G U R O_ Suerte -- _ Roberto Rodríguez Rego JABBER [EMAIL PROTECTED] USUARIO LINUX #141919 Clave Pública GNUPG: 0xCB67FFE6 en http://www.keyserver.net _ pgpZAebz79VcK.pgp Description: PGP signature
Re: Un troyano ??
Yo hice lo mismo hace ya tiempo y, asustado, pregunté en esta lista... Después de muchas historias (busca el hilo por -creo- "troyano"), resultó que era una falsa alarma. De paso descubrí una herramienta útil y, al parecer, más fiable: el rkhunter, descargable desde su web -no recuerdo ahora cuál es..., pero supongo que Google la sabrá-. Un saludo, Josep A Dimarts 08 Febrer 2005 02:45, Simon Pena vau escriure: > Omar Murray escribió: > > Hola: > > El tema es el siguiente, pasé el chkrootkit a mi pc y me salió esto: > > > > *** > > > > Checking `lkm'... You have 2 process hidden for readdir command > > You have 2 process hidden for ps command > > Warning: Possible LKM Trojan installed > > > > *** -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Un troyano ??
A mi me dice esto. Es para preocuparme?? - Checking `lkm'... nothing detected Checking `rexedcs'... not found Checking `sniffer'... lo: not promisc and no packet sniffer sockets eth0: PACKET SNIFFER(/sbin/dhclient[2968]) -- y tb me a dicho lo mismo que ha vosotros pero con una diferencia - Checking `lkm'... You have 1 process hidden for readdir command You have 1 process hidden for ps command Warning: Possible LKM Trojan installed Checking `sniffer' -- y la diferencia es que quedaba pillado sin hacer nada mas no respondia (escribia y solo ponia las letras sin hacer nada) PD - el segundo mensaje no es exactamente ese porque ara me salia el primero, pero es aproximado) Saludos -- Daniel Parera 48 invitaciones de Gmail -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Un troyano ??
Hola lista: On Tue, 8 Feb 2005 08:51:12 +0100, R.R.R. <[EMAIL PROTECTED]> wrote: Tal que el Tue, 8 Feb 2005 03:35:36 +0100 "Borrajudo carajudo" <[EMAIL PROTECTED]> tuvo a bien escribir: Probablemente fui yo. Me pasó lo mismo que a Omar. Un día, ejecutando el chkrootkit me avisa de posibles intrusiones y demás. Después de mucho mirar por ahí decidí pasar el clamav al sistema enterito, y me avisó de varios virus que tenía en el correo, pero ningún troyano ni nada parecido. Es cierto que en el proceso aprendí unas cuantas cosas. Una de ellas es la de "no nos apresuremos, desconectemos la red y pensemos un rato..." Pues eso hice, lo primero que se me ocurrió fue matar todos los posibles demonios que anden por ahí al mejor estilo Hasefroch, es decir, reiniciando la máquina. Desde ese momento me he conectado a la red, pasé en varias oportunades del chkrootkit, y ni noticias del troyano ese. Es casi seguro que fue una falsa alarma. Además, chkrootkit no es el único "comprobador" contra rootkits. Probar otros tampoco está de más. Si finalmente se confirma la intrusión, formateo salvaje o recuperación desde un backup _S E G U R O_ Suerte Denle una ojeada a esta página: https://lists.netfilter.org/pipermail/netfilter/2004-January/049513.html Un poco aclara las cosas... -- Saludetes OM Is í an toírneach a scanríonn ach an tintreach a mharaíonn Powered by Debian GNU/Linux Woody - kernel 2.4.18 -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Un troyano ??
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Daniel Parera Perez wrote: | A mi me dice esto. Es para preocuparme?? | - - | Checking `lkm'... nothing detected | Checking `rexedcs'... not found | Checking `sniffer'... lo: not promisc and no packet sniffer sockets | eth0: PACKET SNIFFER(/sbin/dhclient[2968]) | - -- | | | y tb me a dicho lo mismo que ha vosotros pero con una diferencia | - - | Checking `lkm'... You have 1 process hidden for readdir command | You have 1 process hidden for ps command | Warning: Possible LKM Trojan installed | Checking `sniffer' | - -- | y la diferencia es que quedaba pillado sin hacer nada mas no respondia | (escribia y solo ponia las letras sin hacer nada) | | PD - el segundo mensaje no es exactamente ese porque ara me salia el | primero, pero es aproximado) | | Saludos | a mi me paso cuando tengo mozilla-firefox y thunderbird corriendo que los toma como "procesos ocultos". El modo de averiguarlo fue descargar los fuentes del sitio de chkrootkit [1], compilarlo y correr chkproc -v. Este programa te muestra los PID de los procesos ocultos, luego es cuestion de ir matandolos para ver de q se trata. [1] http://www.chkrootkit.org./ - -- Ricardo A.Frydman Consultor en Tecnología Open Source Administrador de Sistemas http://www.eureka-linux.com.ar -BEGIN PGP SIGNATURE- Version: GnuPG v1.2.5 (GNU/Linux) Comment: Using GnuPG with Thunderbird - http://enigmail.mozdev.org iD8DBQFCCQE2UPw97tF0ZJgRAvXYAJ9/7xaNgCmk6Anz/e5CCaJMh9jsYQCaA5EJ GbNfugeYkEhkRCjAKInJ1No= =gApJ -END PGP SIGNATURE- -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
