no puedo logearme en X con FC4

Horst von Brand vonbrand en inf.utfsm.cl
Lun Ago 29 16:45:49 CLT 2005 

Arturo Mardones <katador en gmail.com> wrote:
> On 8/29/05, Horst von Brand <vonbrand en inf.utfsm.cl> wrote:
> > Arturo Mardones <katador en gmail.com> wrote:

[...]

> > En todo caso, permisos raros en areas como esa me encienden todas las
> > alarmas, huele a sintoma de jaquel incompetente que se te colo a root.

> rayos...!.... y como puedo saber si es efectivamente eso? usando el
> chroot... o algo asi q se llamaba???...

chkrootkit y similares. Busca info sobre rootkits, te espantaras de lo que
se puede hacer.

Bootear el sistema con un LiveCD como INSERT (CD "tarjeta de credito"!)
<http://www.inside-security.de/insert_en.html> y ver si hay cosas "raras":

- Archivos en /dev (si, hay; generalmente solo MAKEDEV)
- Directorios o archivos con nombres inusuales: '...', '. ', caracteres de
  control, ...
- Archivos SUID root que no corresponden (los que hay en un sistema tipico
  son como una docena, en /sbin o /usr/sbin, y tal vez /usr/bin)
- Cuentas extran~as, particularmente sin password o con UID cero
- Servicios "raros" que se levantan. En algun caso me encontre con que
  habian 2 inetd corriendo en el tarro... el 2o con un CWD en /tmp, y el
  archivo de configuracion habia sido borrado. Lo lanzaba desde un script
  legitimo en /etc/init.d/, habia agregado entre los curiosos comandos alli
  el crear la configuracion, lanzar el inetd, y borrar la  configuracion).
  /proc es tu amigo ;-)
- Lista de procesos. Notese que es muy facil ocultar el nombre real del
  ejecutable, y uno puede encontrar cosas como "nfs" o asi para hacer creer
  al administrador que es un proceso "del sistema". Pero esos generalmente
  tienen PIDs chicos...
- Desde una maquina "limpia" (LiveCD) tirar nmap o un sniffer para ver que
  trafico de red hay, contrastar con lo que la maquina misma dice via
  netstat, lsof, ...
- Si es RPMista, un "rpm -Va" puede mostrar discrepancias (si el jaquel es
  tonto, y no pichicateo la base de datos de RPM).
- Revisar los logs. Ratos sin actividad, o actividad "rara", o registros
  truncos, o fuera de orden, ... puede indicar algo.

Notese que determinar a ciencia cierta si ocurrio algo, cuando, y
exactamente que es una tarea titanica. Generalmente mas vale la pena
simplemente reinstalar de cero, /y actualizar rigurosamente antes que
nada/. Es por algo que siempre predico instalar lo que se necesita
solamente, y mantener rigurosamente al dia.

Suerte!
-- 
Dr. Horst H. von Brand                   User #22616 counter.li.org
Departamento de Informatica                     Fono: +56 32 654431
Universidad Tecnica Federico Santa Maria              +56 32 654239
Casilla 110-V, Valparaiso, Chile                Fax:  +56 32 797513

Más información sobre la lista de distribución Linux