detección rootkit

Mie Oct 31 13:12:31 CLST 2007

Reinaldo Garcia <garcia.reinaldo en gmail.com> wrote:
>  Amigos, luego del lamentable sucedo de linuxchile, me puse un poco
> [mÃ¡s] paranoico por la seguridad, y me use a chequear mi laptop que
> actualmente corre Debian Etch 4.0. El tema es que, primero que todo
> corrÃ dos herramientas para la detecciÃ³n de rootkit[1], ambas me dieron
> unas pequeÃ±as advertencias en directorios principalmente
> /etc/.java
> /dev/.static
> /dev/.udev
> /dev/.initramfs, entre otros

Eso no se ve razonable en lo absoluto...

>  pero lo que me causo mÃ¡s atenciÃ³n fue al correr "lsof", lo cual me
> arroja el directorio /proc/xx/exe	

Los /proc/<numeros> son representativos de procesos. Si el proceso ya no
existe, no hay directorio... el exe alli es un link (simbolico) al
ejecutable. Claro, el pograma puede ejecutarse y borrar su ejecutable, con
lo que queda colgando en el aire... o puedes no tener acceso de lectura al
ejecutable (por permisos en directorios, tal vez). Algunos procesos
(tipicamente llamados k*) en realidad son hebras del nucleo, que obviamente
no tienen ejecutables asociados. ps(1) suele mostrarlos entre [].

> etc...... hay mÃ¡s directorio.....
> 
> realizo un ls -la sobre uno de los directorio y le arroja esto:

> nighthawk:/proc/2# ls -la

Proceso 2, seguramente una hebra del nucleo.

> ls: cannot read symbolic link exe: No such file or directory

Bingo!

[...]

> para lo cual "exe" no es un enlace vÃ¡lido, no lo puedo borrar tampoco
> (sÃ, tendrÃa que correr un un livecd de alguna distro y chequear/borrar,
> pero quiero estar seguro que lo que hago)

Je.

Lo que hay bajo /proc y /sys son directorios de mentira, que te dan una
vision al interior del nucleo. No puedes borrar nada de alli, ni crear nada
tampoco.

> * como nota, ayer estaba realizando un backup del /home ya que me saliÃ³
> un viaje relÃ¡mpago a Stgo. y el sistema de archivos se comenzÃ³ a volver
> loco,

Define (con peras y manzanas, aca no somos psiquiatras) "volver loco"...

>       quiero saber si tengo problemas con el filesystem (ext3)

Diria que si... no se estan entendiendo ;-)

>                                                                aunque
> con las herramientas de rigor (e2fsck no me da problemas)...

Al menos algo.

>                                                              en fin tuve
> que realizar un backup solo de las carpetas que me eran mayor prioridad.

Cuenta /en detalle/ lo que haces (y que quieres lograr con ello), que es lo
que pasa, que esperas que pase. Con eso tal vez logremos entender la
situacion.
-- 
Dr. Horst H. von Brand                   User #22616 counter.li.org
Departamento de Informatica                    Fono: +56 32 2654431
Universidad Tecnica Federico Santa Maria             +56 32 2654239
Casilla 110-V, Valparaiso, Chile               Fax:  +56 32 2797513