detección rootkit
Reinaldo Garcia
garcia.reinaldo en gmail.com
Sab Oct 27 17:32:48 CLST 2007
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
Reato Covarrubias Romero escribió:
> El Sábado 27 Octubre 2007, Reinaldo Garcia escribió:
>> Amigos, luego del lamentable sucedo de linuxchile, me puse un poco
>> [más] paranoico por la seguridad, y me use a chequear mi laptop que
>> actualmente corre Debian Etch 4.0. El tema es que, primero que todo
>> corrí dos herramientas para la detección de rootkit[1], ambas me dieron
>> unas pequeñas advertencias en directorios principalmente
>> /etc/.java
> Yo también tengo "/etc/.java"
> Contiene un .systemPrefs y dentro, 2 archivos vacios. .system.lock
> y .systemRootModFile
>
>> /dev/.static
>> /dev/.udev
>> /dev/.initramfs, entre otros
>>
>> pero lo que me causo más atención fue al correr "lsof", lo cual me
>> arroja el directorio /proc/xx/exe
> [... lsof ...]
>> etc...... hay más directorio.....
>>
>> realizo un ls -la sobre uno de los directorio y le arroja esto:
>>
> [... ls -la ...]
>> para lo cual "exe" no es un enlace válido, no lo puedo borrar tampoco
>> (sí, tendría que correr un un livecd de alguna distro y chequear/borrar,
>> pero quiero estar seguro que lo que hago)
>
> No creo que debas alarmarte para nada.
>
> Hechale una miradita a:
> http://tinyurl.com/33kh7n
>
>> Son estos archivos, spywares, (ya que utilizo wine), o algo similar....
>
> Todas las cosas que corres con wine, se ejecutan dentro de un entorno cerrado.
> Por más que ejecutes aplicaciones de windows, si los ejecutas como tu usuario
> (no superusuario), estos _no_ pueden modificar cosas en su sistema.
>
> $ ls .wine
> dosdevices drive_c system.reg userdef.reg user.reg
>
> El "disco C" de las aplicaciones que corre windows, esta dentro de mi cuenta
> en un directorio .wine
> ¿Como puede afectar al /proc si se supone que no tengo permisos para
> modificarlos?
>
>> instalé Clamav (por si acaso :P) y los scaneos que he realizado no ha
>> detectado nada...
> Es más que normal que eso pase.
>
>> * como nota, ayer estaba realizando un backup del /home ya que me salió
>> un viaje relámpago a Stgo. y el sistema de archivos se comenzó a volver
>> loco, quiero saber si tengo problemas con el filesystem (ext3) aunque
>> con las herramientas de rigor (e2fsck no me da problemas)... en fin tuve
>> que realizar un backup solo de las carpetas que me eran mayor prioridad.
> Define "loco"
> ¿Qué errores te decía?
Errores, propiamente tal ninguno, pero las carpetas las escribía de
manera erroneas, por ejemplo, .wine que no pesa más de 700 MB me llegó a
pesar 4GB!... y no solo con estas carpetas, también con se creaba un
especia e loop, vale decir, comenzaba con:
algo
basura
casa...
y luego recopiaba los mismos archivos/directorios
algo
basura
casa...
no pasaba más allá y como dije, el tamaño de los directorio esa
sobredimencionado..
>
> Saludos!
>
- --
Reinaldo García Zuñiga
(08) 749 21 07
Analista Programador
Asesor de Informática
RGSoluciones - Soluciones & Servicios Informáticos Integrales
http://www.rgsoluciones.cl
User #441987 counter.li.org
"Nunca andes por el camino trazado... pues el te conduce únicamente
hacia donde los otros fueron."
(Grahan Bell)
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.6 (GNU/Linux)
iD8DBQFHI6BwgzlgRuBvq/sRAlkHAJ93EoCWakenoRux+XXa4dgUE2isnACcCvow
LBubhrwCYwlo5KdP+VqRKoc=
=iyQQ
-----END PGP SIGNATURE-----
Más información sobre la lista de distribución Linux