Re: detección rootkit
Claudio Salazar
csalazar en alumnos.inf.utfsm.cl
Sab Oct 27 22:42:19 CLST 2007
El Sab, 27 de Octubre de 2007, 5:32 pm, Reinaldo Garcia escribió:
> -----BEGIN PGP SIGNED MESSAGE-----
> Hash: SHA1
>
>
>
> Reato Covarrubias Romero escribió:
>> El Sábado 27 Octubre 2007, Reinaldo Garcia escribió:
>>> Amigos, luego del lamentable sucedo de linuxchile, me puse un poco
>>> [más] paranoico por la seguridad, y me use a chequear mi laptop que
>>> actualmente corre Debian Etch 4.0. El tema es que, primero que todo
>>> corrí dos herramientas para la detección de rootkit[1], ambas me dieron
>>> unas pequeñas advertencias en directorios principalmente
>>> /etc/.java
>> Yo también tengo "/etc/.java"
>> Contiene un .systemPrefs y dentro, 2 archivos vacios. .system.lock
>> y .systemRootModFile
>>
>>> /dev/.static
>>> /dev/.udev
>>> /dev/.initramfs, entre otros
>>>
>>> pero lo que me causo más atención fue al correr "lsof", lo cual me
>>> arroja el directorio /proc/xx/exe
>> [... lsof ...]
>>> etc...... hay más directorio.....
>>>
>>> realizo un ls -la sobre uno de los directorio y le arroja esto:
>>>
>> [... ls -la ...]
>>> para lo cual "exe" no es un enlace válido, no lo puedo borrar tampoco
>>> (sí, tendría que correr un un livecd de alguna distro y
>>> chequear/borrar,
>>> pero quiero estar seguro que lo que hago)
>>
>> No creo que debas alarmarte para nada.
>>
>> Hechale una miradita a:
>> http://tinyurl.com/33kh7n
>>
El archivo "exe" en /proc/proceso/ es un enlace simbolico al binario que
esta ejecutando el proceso. El proceso 1 es init y el 2 debe ser uno de
los primeros creados al iniciarse el sistema operativo, asi que supongo
debe corresponder a algun servicio del kernel que no tiene un
correspondiente binario, por eso el error. Yo tengo la misma salida.
>>> Son estos archivos, spywares, (ya que utilizo wine), o algo
>>> similar....
Nones
>>
>> Todas las cosas que corres con wine, se ejecutan dentro de un entorno
>> cerrado.
>> Por más que ejecutes aplicaciones de windows, si los ejecutas como tu
>> usuario
>> (no superusuario), estos _no_ pueden modificar cosas en su sistema.
>>
>> $ ls .wine
>> dosdevices drive_c system.reg userdef.reg user.reg
>>
>> El "disco C" de las aplicaciones que corre windows, esta dentro de mi
>> cuenta
>> en un directorio .wine
>> ¿Como puede afectar al /proc si se supone que no tengo permisos para
>> modificarlos?
>>
>>> instalé Clamav (por si acaso :P) y los scaneos que he realizado no ha
>>> detectado nada...
>> Es más que normal que eso pase.
>>
>>> * como nota, ayer estaba realizando un backup del /home ya que me salió
>>> un viaje relámpago a Stgo. y el sistema de archivos se comenzó a volver
>>> loco, quiero saber si tengo problemas con el filesystem (ext3) aunque
>>> con las herramientas de rigor (e2fsck no me da problemas)... en fin
>>> tuve
>>> que realizar un backup solo de las carpetas que me eran mayor
>>> prioridad.
>> Define "loco"
>> ¿Qué errores te decía?
> Errores, propiamente tal ninguno, pero las carpetas las escribía de
> manera erroneas, por ejemplo, .wine que no pesa más de 700 MB me llegó a
> pesar 4GB!... y no solo con estas carpetas, también con se creaba un
> especia e loop, vale decir, comenzaba con:
>
> algo
> basura
> casa...
>
> y luego recopiaba los mismos archivos/directorios
> algo
> basura
> casa...
>
> no pasaba más allá y como dije, el tamaño de los directorio esa
> sobredimencionado..
>
>
Los propositos de los rootkits no son llenar de basura tu pc.
Saludos
--
Claudio Salazar
http://www.alumnos.inf.utfsm.cl/~csalazar
Más información sobre la lista de distribución Linux