detección rootkit
Reinaldo Garcia
garcia.reinaldo en gmail.com
Sab Oct 27 12:27:30 CLST 2007
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
Amigos, luego del lamentable sucedo de linuxchile, me puse un poco
[más] paranoico por la seguridad, y me use a chequear mi laptop que
actualmente corre Debian Etch 4.0. El tema es que, primero que todo
corrí dos herramientas para la detección de rootkit[1], ambas me dieron
unas pequeñas advertencias en directorios principalmente
/etc/.java
/dev/.static
/dev/.udev
/dev/.initramfs, entre otros
pero lo que me causo más atención fue al correr "lsof", lo cual me
arroja el directorio /proc/xx/exe
migration 2 root cwd DIR 8,2 4096
2 /
migration 2 root rtd DIR 8,2 4096
2 /
migration 2 root txt unknown
/proc/2/exe
ksoftirqd 3 root cwd DIR 8,2 4096
2 /
ksoftirqd 3 root rtd DIR 8,2 4096
2 /
ksoftirqd 3 root txt unknown
/proc/3/exe
events/0 4 root cwd DIR 8,2 4096
2 /
events/0 4 root rtd DIR 8,2 4096
2 /
events/0 4 root txt unknown
/proc/4/exe
khelper 5 root cwd DIR 8,2 4096
2 /
khelper 5 root rtd DIR 8,2 4096
2 /
khelper 5 root txt unknown
/proc/5/exe
kthread 6 root cwd DIR 8,2 4096
2 /
kthread 6 root rtd DIR 8,2 4096
2 /
kthread 6 root txt unknown
/proc/6/exe
kblockd/0 9 root cwd DIR 8,2 4096
2 /
kblockd/0 9 root rtd DIR 8,2 4096
2 /
kblockd/0 9 root txt unknown
/proc/9/exe
kacpid 10 root cwd DIR 8,2 4096
2 /
kacpid 10 root rtd DIR 8,2 4096
2 /
kacpid 10 root txt unknown
/proc/10/exe
kseriod 114 root cwd DIR 8,2 4096
2 /
kseriod 114 root rtd DIR 8,2 4096
2 /
kseriod 114 root txt unknown
/proc/114/exe
pdflush 154 root cwd DIR 8,2 4096
2 /
pdflush 154 root rtd DIR 8,2 4096
2 /
pdflush 154 root txt unknown
/proc/154/exe
etc...... hay más directorio.....
realizo un ls -la sobre uno de los directorio y le arroja esto:
nighthawk:/proc/2# ls -la
ls: cannot read symbolic link exe: No such file or directory
total 0
dr-xr-xr-x 5 root root 0 2007-10-27 11:52 .
dr-xr-xr-x 132 root root 0 2007-10-27 07:20 ..
dr-xr-xr-x 2 root root 0 2007-10-27 12:04 attr
- -r-------- 1 root root 0 2007-10-27 12:03 auxv
- -r--r--r-- 1 root root 0 2007-10-27 11:59 cmdline
- -r--r--r-- 1 root root 0 2007-10-27 12:03 cpuset
lrwxrwxrwx 1 root root 0 2007-10-27 11:55 cwd -> /
- -r-------- 1 root root 0 2007-10-27 12:03 environ
lrwxrwxrwx 1 root root 0 2007-10-27 11:55 exe
dr-x------ 2 root root 0 2007-10-27 11:55 fd
- -r--r--r-- 1 root root 0 2007-10-27 11:55 maps
- -rw------- 1 root root 0 2007-10-27 12:03 mem
- -r--r--r-- 1 root root 0 2007-10-27 12:03 mounts
- -r-------- 1 root root 0 2007-10-27 12:03 mountstats
- -rw-r--r-- 1 root root 0 2007-10-27 12:03 oom_adj
- -r--r--r-- 1 root root 0 2007-10-27 12:03 oom_score
lrwxrwxrwx 1 root root 0 2007-10-27 11:55 root -> /
- -r--r--r-- 1 root root 0 2007-10-27 12:03 smaps
- -r--r--r-- 1 root root 0 2007-10-27 11:52 stat
- -r--r--r-- 1 root root 0 2007-10-27 12:03 statm
- -r--r--r-- 1 root root 0 2007-10-27 11:59 status
dr-xr-xr-x 3 root root 0 2007-10-27 12:04 task
- -r--r--r-- 1 root root 0 2007-10-27 12:03 wchan
para lo cual "exe" no es un enlace válido, no lo puedo borrar tampoco
(sí, tendría que correr un un livecd de alguna distro y chequear/borrar,
pero quiero estar seguro que lo que hago)
Son estos archivos, spywares, (ya que utilizo wine), o algo similar....
instalé Clamav (por si acaso :P) y los scaneos que he realizado no ha
detectado nada...
* como nota, ayer estaba realizando un backup del /home ya que me salió
un viaje relámpago a Stgo. y el sistema de archivos se comenzó a volver
loco, quiero saber si tengo problemas con el filesystem (ext3) aunque
con las herramientas de rigor (e2fsck no me da problemas)... en fin tuve
que realizar un backup solo de las carpetas que me eran mayor prioridad.
Espero puedan comentar....
[1] chkrootkit y rkhunter
- --
Reinaldo García Zuñiga
(08) 749 21 07
Analista Programador
Asesor de Informática
RGSoluciones - Soluciones & Servicios Informáticos Integrales
http://www.rgsoluciones.cl
User #441987 counter.li.org
"Nunca andes por el camino trazado... pues el te conduce únicamente
hacia donde los otros fueron."
(Grahan Bell)
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.6 (GNU/Linux)
iD8DBQFHI1jhgzlgRuBvq/sRAubzAJ9IKvleY4LT6YXeyjCHWZUGt2Hn2QCeIbB9
zpH5Q38f65pfx7GlNEW+KcE=
=zcmg
-----END PGP SIGNATURE-----
Más información sobre la lista de distribución Linux