El 28/06/05, Rafael Griman
Wenas :)
-----Original Message-----
Subject: Re: [suse-linux-s] posible intruso. Antes cambio de hostname
rkhunter --update && rkhunter -c --scan-knownbad-files --skip-keypress
y listo, Un saludo. Peter Holm.
Me he instalado este que me has dicho y me parece que esta mu bien, y para alegria mia no me ha detectado nada, asi que puede que fuera algo que instale,
A ver que descubro,
Varias cosillas:
- que el rkhunter no te dé resultados positivos NO significa que estés libre de pecado ;)
Es verdad, pero da un poco de tranquilidad.
- lo mejor es un análisis forense por lo que necesitarías otro disco y reinstalar todo, ... mientras analizas este disco duro
esto me puede llevar un rato largo, voy a exprimir las ultimas posibilidades
- puedes probar con un simple
rpm -qf /usr/local/<fichero>
Eso me dice que leches, que no se corresponde con ningun package.
para ver si viene de algún paquete en especial. No será muy útil si ha sido instalado de alguna manera diferente a rpm (compilando código, por ejemplo)
- chequea los logs, para ver si alguien ha entrado o algún usuario ha hecho un login cuando no debiera, ...
- es útil tener acct instalado y funcionando
¿acct? es la primera noticia que tengo de este comando, voy a ver que hace
- existen una serie de distros que arrancan desde CD que te permiten analizar el sistema, como por ejemplo Biatchux, esto es más fiable que instalar un rrotkit checker en un isstema posiblemente infectado
- comprueba si se abren puertos innecesariamente, ...
Revisaré la configuracion de red a ver,
Un par de ideas para que te vayas entreteniendo ;)
Y tanto que voy a estar entretenido :-))
Rafa
Emi
-- Para dar de baja la suscripción, mande un mensaje a: suse-linux-s-unsubscribe@suse.com Para obtener el resto de direcciones-comando, mande un mensaje a: suse-linux-s-help@suse.com