no puedo logearme en X con FC4

Juan Carlos Inostroza jci en codemonkey.cl
Lun Ago 29 17:15:38 CLT 2005


On Mon, 2005-08-29 at 16:45 -0400, Horst von Brand wrote:
> > rayos...!.... y como puedo saber si es efectivamente eso? usando el
> > chroot... o algo asi q se llamaba???...
> 
> chkrootkit y similares. Busca info sobre rootkits, te espantaras de lo que
> se puede hacer.

A pesar que he tenido de esas visitas en el pasado ;) hay veces que un
simple upgrade me deja la crema con los permisos de /tmp (dos distros
distintas que les pasa un problema similar, quizas es por la particion
separada)

> Bootear el sistema con un LiveCD como INSERT (CD "tarjeta de credito"!)
> <http://www.inside-security.de/insert_en.html> y ver si hay cosas "raras":

> - Servicios "raros" que se levantan. En algun caso me encontre con que
>   habian 2 inetd corriendo en el tarro... el 2o con un CWD en /tmp, y el
>   archivo de configuracion habia sido borrado. Lo lanzaba desde un script
>   legitimo en /etc/init.d/, habia agregado entre los curiosos comandos alli
>   el crear la configuracion, lanzar el inetd, y borrar la  configuracion).
>   /proc es tu amigo ;-)

Aunque si hay un LKM (como Adore o t0rn) es mas complicado detectar por
si hay procesos ocultos. Lsof pasa piola, /proc esta contaminado lo
suficiente para no saber que procesos realmente hay (aunque creo que
haciendo varios procesos y consultando de vuelta al proc es que se
detecta si anda uno de esos juguetes corriendo). 

Preferible revisar los archivos tipicos (t0rn por ejemplo
usa /usr/include/file.h, /usr/include/proc.h y /usr/include/hosts.h que
no existen en la distribucion). A pesar que el lkm los oculta al ls, no
los puede ocultar para editarlos o hacer un cat ;)

> - Lista de procesos. Notese que es muy facil ocultar el nombre real del
>   ejecutable, y uno puede encontrar cosas como "nfs" o asi para hacer creer
>   al administrador que es un proceso "del sistema". Pero esos generalmente
>   tienen PIDs chicos...

una vez que se pillo al visitante indeseable, es mas facil el ver esos
procesos y que estan haciendo. lsof da una mano. 

> - Desde una maquina "limpia" (LiveCD) tirar nmap o un sniffer para ver que
>   trafico de red hay, contrastar con lo que la maquina misma dice via
>   netstat, lsof, ...

Un nmap desde otra maquina y listo :)

> - Si es RPMista, un "rpm -Va" puede mostrar discrepancias (si el jaquel es
>   tonto, y no pichicateo la base de datos de RPM).

No muchos jaquel hacen esa gracia :)

Saludos,
-- 
Juan Carlos Inostroza
http://jci.codemonkey.cl



Más información sobre la lista de distribución Linux