Hack en maquina redhat enterprise

Germán Poó Caamaño gpoo en ubiobio.cl
Mar Mayo 8 12:12:04 CLT 2007


On Tue, 2007-05-08 at 11:12 -0400, Alvaro Herrera wrote:
> Eduardo Peña Ceballos escribió:
> > Cristian Rodriguez wrote:
> > >nada es confiable.. ls, top o cualquier binario comun (sh , bash lo
> > >que sea..) te miente.
> > 
> > Y si saco un md5 del binario y al compararlo con el de una maquina sana, 
> > pasa lo mismo ?
> 
> Con un rootkit comun y corriente lo podras detectar, pero un rootkit
> realmente avanzado puede entregarte el binario original para md5 y
> demas, de manera que tu no lo detectes, mientras que al momento de
> ejecutarlo ponga un programa distinto.
> 
> Esto requiere modificar el kernel obviamente, asi que no cualquiera
> puede hacerlo, pero no es imposible.

No es necesario modificar el kernel, sino el programa md5sum.  Que, para
una versión dada de la distro, mantenga un listado de las sumas MD5 de
todos los programas comunes del sistema.  Así, no calcula MD5,
sólo hace la finta que lo hace.

Creo que más valdría intentar montar el disco (modo lectura) en un
equipo limpio, y desde allí realizar las sumas MD5 para comparar
con las del equipo limpio.

-- 
Germán Poó Caamaño
Concepción - Chile



Más información sobre la lista de distribución Linux