El 27/06/05, lordacid
El Lunes 27 Junio 2005 17:25, Emiliano Sutil escribió:
Hola a todos,
Despues de pelear con el cambio del hostname automatico estoy llegando a la conclusión de que se me ha metido un intruso y me ha instalado algun rootkit de esos,
Me han aparecido en el directorio /usr/local/bin todos estos binarios . cut false ls pr split tsort .. date fmt md5sum printenv stat tty [ dd fold mkdir printf static.cgi uname basename df groups mkfifo ptx stty unexpand cat dir head mknod pwd su uniq chgrp dircolors hostid mv sum unlink chmod dirname hostname nice readlink sync uptime chown id nl rm tac users chroot du install nohup rmdir tail vdir cksum echo join od seq tee wc comm env kill paste sha1sum test who cp expand link pathchk shred touch whoami csplit expr ln pflogsumm.pl sleep tr cstest factor logname pinky sort true yes
Veamos, algunos de estos binarios son normales. Certifica la fecha de creacion de ellos para saber cuando fueron creados para conocer si fuistes tu u otra persona. Dichos binarios normales son: ls, md5sum, uname, cat,dir, pwd, su, chmod, dirname, etc... practicamente todos lo encuentro normal como binarios.
Cosa q me parece muy chunga.
Creo recordar que habia herramientas de deteccion de este tipo de herramientas
¿Alguien sabe como puedo afrontar esto? Mira en kriptopolis, suelen recomendar ciertas herramientas interesantes para ello y consejos utiles para afrontarlo.
Los ficheros fueron creados el dia 23 de Junio a las 9:50. Coincide con instalaciones que hice asi que posiblemente algo que instale metio esos ficheros en esa ruta, pero aun asi me parece raro raro.
un Saludo Otro salu2 Emi