duda con chkrootkit

Hector Gatica hgatica en laradio.cl
Jue Mayo 17 12:09:41 CLT 2007


Ricardo Utreras Estrella wrote:
> Miguel Angel Amador L escribió:
>> On 5/16/07, Ricardo Utreras Estrella <utreras en gmail.com> wrote:
>>> juan carlos mardones escribió:
>>> >>  que otra cosa pueda ver para asegurarme que no tenga algun bicho?.
>>> >>
>>> >
>>> > puedes probar con Rootkit Hunter (rkhunter), es bastante bueno a mi
>>> > parecer, echale un vistazo.
>>> >
>>> > Saludos.
>>>
>>> Ver que procesos están siendo ejecutados por qué programas:
>>> #ps aux
>>>
>>> Ver puertos escuchando en tu maquina:
>>> #netstat -npl
>>>
>>> Ver puertos abiertos en tu maquina:
>>> #nmap localhost
>>>
>>> Etc. ( y con otras opciones mas eficaces obviamente...)
>>>
>>> PS: No hay nada como usar los comandos de tu sistema y el sentido comun
>>> (que es el menos comun de los sentidos...)
>>>
>>> -- 
>>> Atte. Ricardo Utreras Estrella
>>>
>>
>> heee... pero hay que recordar que la idea de un rootkit, es que esos
>> "programas" de sistema no entregen la informacion correcta , ocultando
>> los procesos de rootkit. y si te instalaron un Rootkit de LKM mas
>> dificil saberlo aun con los programas correctos
>
> Buen punto. Pero para eso tambien esta el md5 de tus paquetes 
> originales, etc.
> El punto al que quiero llegar es que no hay un conjunto de 
> herramientas que sea "EL" conjunto, si no que hay que saber usar el 
> mejor conjunto que se aplique en la situacion en particular (y a los 
> conocimientos del admin), y para ello considero que hay que partir 
> conociendo los comandos de tu propio sistema.
De esto se hablo la otra vez. Y mas paranoico ... si modificaron el 
binario de md5 y te hacen creer que es el correcto ?
Montar como solo lectura en otro sistema y checkear parece ser lo mas sano.

Saludos.


Más información sobre la lista de distribución Linux