no puedo logearme en X con FC4
Juan Carlos Inostroza
jci en codemonkey.cl
Lun Ago 29 17:15:38 CLT 2005
On Mon, 2005-08-29 at 16:45 -0400, Horst von Brand wrote:
> > rayos...!.... y como puedo saber si es efectivamente eso? usando el
> > chroot... o algo asi q se llamaba???...
>
> chkrootkit y similares. Busca info sobre rootkits, te espantaras de lo que
> se puede hacer.
A pesar que he tenido de esas visitas en el pasado ;) hay veces que un
simple upgrade me deja la crema con los permisos de /tmp (dos distros
distintas que les pasa un problema similar, quizas es por la particion
separada)
> Bootear el sistema con un LiveCD como INSERT (CD "tarjeta de credito"!)
> <http://www.inside-security.de/insert_en.html> y ver si hay cosas "raras":
> - Servicios "raros" que se levantan. En algun caso me encontre con que
> habian 2 inetd corriendo en el tarro... el 2o con un CWD en /tmp, y el
> archivo de configuracion habia sido borrado. Lo lanzaba desde un script
> legitimo en /etc/init.d/, habia agregado entre los curiosos comandos alli
> el crear la configuracion, lanzar el inetd, y borrar la configuracion).
> /proc es tu amigo ;-)
Aunque si hay un LKM (como Adore o t0rn) es mas complicado detectar por
si hay procesos ocultos. Lsof pasa piola, /proc esta contaminado lo
suficiente para no saber que procesos realmente hay (aunque creo que
haciendo varios procesos y consultando de vuelta al proc es que se
detecta si anda uno de esos juguetes corriendo).
Preferible revisar los archivos tipicos (t0rn por ejemplo
usa /usr/include/file.h, /usr/include/proc.h y /usr/include/hosts.h que
no existen en la distribucion). A pesar que el lkm los oculta al ls, no
los puede ocultar para editarlos o hacer un cat ;)
> - Lista de procesos. Notese que es muy facil ocultar el nombre real del
> ejecutable, y uno puede encontrar cosas como "nfs" o asi para hacer creer
> al administrador que es un proceso "del sistema". Pero esos generalmente
> tienen PIDs chicos...
una vez que se pillo al visitante indeseable, es mas facil el ver esos
procesos y que estan haciendo. lsof da una mano.
> - Desde una maquina "limpia" (LiveCD) tirar nmap o un sniffer para ver que
> trafico de red hay, contrastar con lo que la maquina misma dice via
> netstat, lsof, ...
Un nmap desde otra maquina y listo :)
> - Si es RPMista, un "rpm -Va" puede mostrar discrepancias (si el jaquel es
> tonto, y no pichicateo la base de datos de RPM).
No muchos jaquel hacen esa gracia :)
Saludos,
--
Juan Carlos Inostroza
http://jci.codemonkey.cl
Más información sobre la lista de distribución Linux