no puedo logearme en X con FC4

Horst von Brand vonbrand en inf.utfsm.cl
Lun Ago 29 18:05:24 CLT 2005 

Juan Carlos Inostroza <jci en codemonkey.cl> wrote:
> On Mon, 2005-08-29 at 16:45 -0400, Horst von Brand wrote:

[...]

> > - Servicios "raros" que se levantan. En algun caso me encontre con que
> >   habian 2 inetd corriendo en el tarro... el 2o con un CWD en /tmp, y el
> >   archivo de configuracion habia sido borrado. Lo lanzaba desde un script
> >   legitimo en /etc/init.d/, habia agregado entre los curiosos comandos alli
> >   el crear la configuracion, lanzar el inetd, y borrar la  configuracion).
> >   /proc es tu amigo ;-)
> 
> Aunque si hay un LKM (como Adore o t0rn) es mas complicado detectar por
> si hay procesos ocultos. Lsof pasa piola, /proc esta contaminado lo
> suficiente para no saber que procesos realmente hay (aunque creo que
> haciendo varios procesos y consultando de vuelta al proc es que se
> detecta si anda uno de esos juguetes corriendo). 

> Preferible revisar los archivos tipicos (t0rn por ejemplo
> usa /usr/include/file.h, /usr/include/proc.h y /usr/include/hosts.h que
> no existen en la distribucion). A pesar que el lkm los oculta al ls, no
> los puede ocultar para editarlos o hacer un cat ;)

Si el jaquel es cuidadoso, y usa p.ej. adore-ng, puede ocultar el archivo a
/todos/ los procesos no "autorizados". Idem para procesos, conexiones de
red, ...

> > - Lista de procesos. Notese que es muy facil ocultar el nombre real del
> >   ejecutable, y uno puede encontrar cosas como "nfs" o asi para hacer creer
> >   al administrador que es un proceso "del sistema". Pero esos generalmente
> >   tienen PIDs chicos...

> una vez que se pillo al visitante indeseable, es mas facil el ver esos
> procesos y que estan haciendo. lsof da una mano. 

Ver arriba.

> > - Desde una maquina "limpia" (LiveCD) tirar nmap o un sniffer para ver que
> >   trafico de red hay, contrastar con lo que la maquina misma dice via
> >   netstat, lsof, ...

> Un nmap desde otra maquina y listo :)

A eso me referia... pero hay que asegurarse que la otra no esta 0wn3d
tambien. Por eso LiveCD, e INSERT es mas que comodo para andar con el a
cuestas (50MiB!).
-- 
Dr. Horst H. von Brand                   User #22616 counter.li.org
Departamento de Informatica                     Fono: +56 32 654431
Universidad Tecnica Federico Santa Maria              +56 32 654239
Casilla 110-V, Valparaiso, Chile                Fax:  +56 32 797513

Más información sobre la lista de distribución Linux