posible intruso. Antes cambio de hostname
Hola a todos, Despues de pelear con el cambio del hostname automatico estoy llegando a la conclusión de que se me ha metido un intruso y me ha instalado algun rootkit de esos, Me han aparecido en el directorio /usr/local/bin todos estos binarios . cut false ls pr split tsort .. date fmt md5sum printenv stat tty [ dd fold mkdir printf static.cgi uname basename df groups mkfifo ptx stty unexpand cat dir head mknod pwd su uniq chgrp dircolors hostid mv sum unlink chmod dirname hostname nice readlink sync uptime chown id nl rm tac users chroot du install nohup rmdir tail vdir cksum echo join od seq tee wc comm env kill paste sha1sum test who cp expand link pathchk shred touch whoami csplit expr ln pflogsumm.pl sleep tr cstest factor logname pinky sort true yes Cosa q me parece muy chunga. Creo recordar que habia herramientas de deteccion de este tipo de herramientas ¿Alguien sabe como puedo afrontar esto? un Saludo Emi
Emiliano Sutil wrote:
Hola a todos,
Despues de pelear con el cambio del hostname automatico estoy llegando a la conclusión de que se me ha metido un intruso y me ha instalado algun rootkit de esos,
Me han aparecido en el directorio /usr/local/bin todos estos binarios . cut false ls pr split tsort .. date fmt md5sum printenv stat tty [ dd fold mkdir printf static.cgi uname basename df groups mkfifo ptx stty unexpand cat dir head mknod pwd su uniq chgrp dircolors hostid mv sum unlink chmod dirname hostname nice readlink sync uptime chown id nl rm tac users chroot du install nohup rmdir tail vdir cksum echo join od seq tee wc comm env kill paste sha1sum test who cp expand link pathchk shred touch whoami csplit expr ln pflogsumm.pl sleep tr cstest factor logname pinky sort true yes
Cosa q me parece muy chunga.
Creo recordar que habia herramientas de deteccion de este tipo de herramientas
¿Alguien sabe como puedo afrontar esto?
un Saludo
Emi
Instalate algun checkrootkit. Por ejemplo: http://www.chkrootkit.org/ http://www.rootkit.nl/
El Lunes, 27 de Junio de 2005 18:10, aux escribió:
Instalate algun checkrootkit. Por ejemplo: http://www.chkrootkit.org/ http://www.rootkit.nl/
Hola: Yo me decanto por rkhunter, http://www.rootkit.nl/projects/rootkit_hunter.html (para bajarlo el enlace esta abajo del todo de la pag.) lo instalo y despues, como root hago: rkhunter --update && rkhunter -c --scan-knownbad-files --skip-keypress y listo, Un saludo. Peter Holm.
El 27/06/05, Peter Holm
El Lunes, 27 de Junio de 2005 18:10, aux escribió:
Instalate algun checkrootkit. Por ejemplo: http://www.chkrootkit.org/ http://www.rootkit.nl/
Hola: Yo me decanto por rkhunter,
http://www.rootkit.nl/projects/rootkit_hunter.html (para bajarlo el enlace esta abajo del todo de la pag.)
lo instalo y despues, como root hago:
rkhunter --update && rkhunter -c --scan-knownbad-files --skip-keypress
y listo, Un saludo. Peter Holm.
Me he instalado este que me has dicho y me parece que esta mu bien, y para alegria mia no me ha detectado nada, asi que puede que fuera algo que instale, A ver que descubro, un saludo Emi
Hola, Creo que deberías empezar por ejecutar chkrootkit. Esta aplicación viene por defecto en la distro. Ella te chequea los ficheros más importantes y te dice si encuentra algo raro. Es un buen comienzo... Saludos, Ernesto El lun, 27-06-2005 a las 17:25 +0200, Emiliano Sutil escribió:
Hola a todos,
Despues de pelear con el cambio del hostname automatico estoy llegando a la conclusión de que se me ha metido un intruso y me ha instalado algun rootkit de esos,
Me han aparecido en el directorio /usr/local/bin todos estos binarios . cut false ls pr split tsort .. date fmt md5sum printenv stat tty [ dd fold mkdir printf static.cgi uname basename df groups mkfifo ptx stty unexpand cat dir head mknod pwd su uniq chgrp dircolors hostid mv sum unlink chmod dirname hostname nice readlink sync uptime chown id nl rm tac users chroot du install nohup rmdir tail vdir cksum echo join od seq tee wc comm env kill paste sha1sum test who cp expand link pathchk shred touch whoami csplit expr ln pflogsumm.pl sleep tr cstest factor logname pinky sort true yes
Cosa q me parece muy chunga.
Creo recordar que habia herramientas de deteccion de este tipo de herramientas
¿Alguien sabe como puedo afrontar esto?
un Saludo
Emi
______________________________________________ Renovamos el Correo Yahoo! Nuevos servicios, m�s seguridad http://correo.yahoo.es
participants (4)
-
aux -
E Garrido -
Emiliano Sutil -
Peter Holm