detección rootkit
Renato Covarrubias Romero
rcovarru en alumnos.inf.utfsm.cl
Sab Oct 27 13:43:45 CLST 2007
El Sábado 27 Octubre 2007, Reinaldo Garcia escribió:
> Amigos, luego del lamentable sucedo de linuxchile, me puse un poco
> [más] paranoico por la seguridad, y me use a chequear mi laptop que
> actualmente corre Debian Etch 4.0. El tema es que, primero que todo
> corrí dos herramientas para la detección de rootkit[1], ambas me dieron
> unas pequeñas advertencias en directorios principalmente
> /etc/.java
Yo también tengo "/etc/.java"
Contiene un .systemPrefs y dentro, 2 archivos vacios. .system.lock
y .systemRootModFile
> /dev/.static
> /dev/.udev
> /dev/.initramfs, entre otros
>
> pero lo que me causo más atención fue al correr "lsof", lo cual me
> arroja el directorio /proc/xx/exe
[... lsof ...]
> etc...... hay más directorio.....
>
> realizo un ls -la sobre uno de los directorio y le arroja esto:
>
[... ls -la ...]
>
> para lo cual "exe" no es un enlace válido, no lo puedo borrar tampoco
> (sí, tendría que correr un un livecd de alguna distro y chequear/borrar,
> pero quiero estar seguro que lo que hago)
No creo que debas alarmarte para nada.
Hechale una miradita a:
http://tinyurl.com/33kh7n
> Son estos archivos, spywares, (ya que utilizo wine), o algo similar....
Todas las cosas que corres con wine, se ejecutan dentro de un entorno cerrado.
Por más que ejecutes aplicaciones de windows, si los ejecutas como tu usuario
(no superusuario), estos _no_ pueden modificar cosas en su sistema.
$ ls .wine
dosdevices drive_c system.reg userdef.reg user.reg
El "disco C" de las aplicaciones que corre windows, esta dentro de mi cuenta
en un directorio .wine
¿Como puede afectar al /proc si se supone que no tengo permisos para
modificarlos?
> instalé Clamav (por si acaso :P) y los scaneos que he realizado no ha
> detectado nada...
Es más que normal que eso pase.
> * como nota, ayer estaba realizando un backup del /home ya que me salió
> un viaje relámpago a Stgo. y el sistema de archivos se comenzó a volver
> loco, quiero saber si tengo problemas con el filesystem (ext3) aunque
> con las herramientas de rigor (e2fsck no me da problemas)... en fin tuve
> que realizar un backup solo de las carpetas que me eran mayor prioridad.
Define "loco"
¿Qué errores te decía?
Saludos!
--
Renato Covarrubias Romero - counter.li.org #399677
rcovarru [at] alumnos.inf.utfsm.cl rnt [at] bla.cl
Estudiante Ingenieria Civil Informatica, Casa Central, UTFSM.
Más información sobre la lista de distribución Linux