El 2005-01-15 a las 22:02 +0100, Peter Holm escribió:
Ese es el mensaje que me da el chkrootkit, haciendo last -i me salen unas IP de korea, ¿conectados? con mi nombre de usuario y :0 , que no se si es que entraron o sencillamente lo intentaron.
¿Por casualidad algo como esto? cer :0 248.0.4.64 Mon Jan 17 18:24 still logged in Y acabo de encender la máquina y no me he conectado todavía a internet, así que es imposible que se me haya conectado alguien. Comparalo con who o w: NAME LINE TIME IDLE PID COMMENT EXIT cer + :0 Jan 17 18:24 old 5464 (console) ó USER TTY LOGIN@ IDLE JCPU PCPU WHAT cer :0 18:24 ?xdm? 32.01s 0.01s -:0 Y si miramos el proceso: 5452 ? S 0:00 /usr/X11R6/bin/wdm 5454 ? S 0:00 \_ /usr/X11R6/bin/wdm 5463 ? SL 0:09 \_ /usr/X11R6/bin/X -nolisten tcp -br vt7 -auth /var/lib/xdm/authdir/authfiles/A:0-tMCjVA -> 5464 ? S 0:00 \_ -:0 6268 ? S 0:01 \_ /opt/gnome/bin/gnome-session Si intentas hacer host, whois, or ping a esa IP, 248.0.4.64 verás que falla con mensajes "raros", como algo de "que rayos haces", como si fuera algo que todo el mundo supieramos que no se puede hacer. Esa IP debe ser un rango reservado a uso local. Y digo "debe" porque yo, formalmente, no he estudiado internet, casi no existía cuando yo estudié, y no informática precisamente. Así que alguno de los que están por aquí que tengan esas materias fresquitas nos lo puede contar a todos para que está reservada esa IP. ;-) (si, hice una búsqueda rápida con grep por los rfc, pero no lo encontré). -- Saludos Carlos Robinson