detección rootkit

Sab Oct 27 12:27:30 CLST 2007

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

 Amigos, luego del lamentable sucedo de linuxchile, me puse un poco
[más] paranoico por la seguridad, y me use a chequear mi laptop que
actualmente corre Debian Etch 4.0. El tema es que, primero que todo
corrí dos herramientas para la detección de rootkit[1], ambas me dieron
unas pequeñas advertencias en directorios principalmente
/etc/.java
/dev/.static
/dev/.udev
/dev/.initramfs, entre otros

 pero lo que me causo más atención fue al correr "lsof", lo cual me
arroja el directorio /proc/xx/exe	
migration     2            root  cwd       DIR        8,2     4096
    2 /
migration     2            root  rtd       DIR        8,2     4096
    2 /
migration     2            root  txt   unknown
      /proc/2/exe
ksoftirqd     3            root  cwd       DIR        8,2     4096
    2 /
ksoftirqd     3            root  rtd       DIR        8,2     4096
    2 /
ksoftirqd     3            root  txt   unknown
      /proc/3/exe
events/0      4            root  cwd       DIR        8,2     4096
    2 /
events/0      4            root  rtd       DIR        8,2     4096
    2 /
events/0      4            root  txt   unknown
      /proc/4/exe
khelper       5            root  cwd       DIR        8,2     4096
    2 /
khelper       5            root  rtd       DIR        8,2     4096
    2 /
khelper       5            root  txt   unknown
      /proc/5/exe
kthread       6            root  cwd       DIR        8,2     4096
    2 /
kthread       6            root  rtd       DIR        8,2     4096
    2 /
kthread       6            root  txt   unknown
      /proc/6/exe
kblockd/0     9            root  cwd       DIR        8,2     4096
    2 /
kblockd/0     9            root  rtd       DIR        8,2     4096
    2 /
kblockd/0     9            root  txt   unknown
      /proc/9/exe
kacpid       10            root  cwd       DIR        8,2     4096
    2 /
kacpid       10            root  rtd       DIR        8,2     4096
    2 /
kacpid       10            root  txt   unknown
      /proc/10/exe
kseriod     114            root  cwd       DIR        8,2     4096
    2 /
kseriod     114            root  rtd       DIR        8,2     4096
    2 /
kseriod     114            root  txt   unknown
      /proc/114/exe
pdflush     154            root  cwd       DIR        8,2     4096
    2 /
pdflush     154            root  rtd       DIR        8,2     4096
    2 /
pdflush     154            root  txt   unknown
      /proc/154/exe
etc...... hay más directorio.....

realizo un ls -la sobre uno de los directorio y le arroja esto:

nighthawk:/proc/2# ls -la
ls: cannot read symbolic link exe: No such file or directory
total 0
dr-xr-xr-x   5 root root 0 2007-10-27 11:52 .
dr-xr-xr-x 132 root root 0 2007-10-27 07:20 ..
dr-xr-xr-x   2 root root 0 2007-10-27 12:04 attr
- -r--------   1 root root 0 2007-10-27 12:03 auxv
- -r--r--r--   1 root root 0 2007-10-27 11:59 cmdline
- -r--r--r--   1 root root 0 2007-10-27 12:03 cpuset
lrwxrwxrwx   1 root root 0 2007-10-27 11:55 cwd -> /
- -r--------   1 root root 0 2007-10-27 12:03 environ
lrwxrwxrwx   1 root root 0 2007-10-27 11:55 exe
dr-x------   2 root root 0 2007-10-27 11:55 fd
- -r--r--r--   1 root root 0 2007-10-27 11:55 maps
- -rw-------   1 root root 0 2007-10-27 12:03 mem
- -r--r--r--   1 root root 0 2007-10-27 12:03 mounts
- -r--------   1 root root 0 2007-10-27 12:03 mountstats
- -rw-r--r--   1 root root 0 2007-10-27 12:03 oom_adj
- -r--r--r--   1 root root 0 2007-10-27 12:03 oom_score
lrwxrwxrwx   1 root root 0 2007-10-27 11:55 root -> /
- -r--r--r--   1 root root 0 2007-10-27 12:03 smaps
- -r--r--r--   1 root root 0 2007-10-27 11:52 stat
- -r--r--r--   1 root root 0 2007-10-27 12:03 statm
- -r--r--r--   1 root root 0 2007-10-27 11:59 status
dr-xr-xr-x   3 root root 0 2007-10-27 12:04 task
- -r--r--r--   1 root root 0 2007-10-27 12:03 wchan

para lo cual "exe" no es un enlace válido, no lo puedo borrar tampoco
(sí, tendría que correr un un livecd de alguna distro y chequear/borrar,
pero quiero estar seguro que lo que hago)

 Son estos archivos, spywares, (ya que utilizo wine), o algo similar....

 instalé Clamav (por si acaso :P) y los scaneos que he realizado no ha
detectado nada...

* como nota, ayer estaba realizando un backup del /home ya que me salió
un viaje relámpago a Stgo. y el sistema de archivos se comenzó a volver
loco,  quiero saber si tengo problemas con el filesystem (ext3) aunque
con las herramientas de rigor (e2fsck no me da problemas)... en fin tuve
que realizar un backup solo de las carpetas que me eran mayor prioridad.

 Espero puedan comentar....

[1] chkrootkit y rkhunter
- --
Reinaldo García Zuñiga
(08) 749 21 07
Analista Programador
Asesor de Informática
RGSoluciones - Soluciones & Servicios Informáticos Integrales
http://www.rgsoluciones.cl
User #441987 counter.li.org
"Nunca andes por el camino trazado... pues el te conduce únicamente
hacia donde los otros fueron."
(Grahan Bell)
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.6 (GNU/Linux)

iD8DBQFHI1jhgzlgRuBvq/sRAubzAJ9IKvleY4LT6YXeyjCHWZUGt2Hn2QCeIbB9
zpH5Q38f65pfx7GlNEW+KcE=
=zcmg
-----END PGP SIGNATURE-----