La libertad del conocimiento al alcance de quien la busca.
Bienvenido(a) a Alcance Libre 05/09/2025, 22:09
Alcance Libre Foros
|
||||||||
 |
Índice del foro > Todo acerca de Linux > Seguridad |
New Topic
Post Reply
|
 Como eliminar un rootkit
|
||
| David Rosado |
|
||||||
Moderador  Estado: desconectado  Identificado: 21/02/07 Mensajes: 154 Localización:Ecuador |
Saludos compañeros, tengo un problema con un rootkit el cual está en el servidor CentOS 5 de un cliente, al cual le esta dando problemas con el canal del Ancho de Banda, ya que este se satura a cada rato y revisando en el MRTG parece que le están sacando info de la red o del servidor, instale el chkrootkit y al ejecutarlo al final me sale esto:
Searching for anomalies in shell history files... nothing found Checking `asp'... not infected Checking `bindshell'... INFECTED (PORTS: 600) Checking `lkm'... chkproc: nothing detected Checking `rexedcs'... not found Checking `sniffer'... eth1: not promisc and no PF_PACKET sockets eth0: not promisc and no PF_PACKET sockets Checking `w55808'... not infected Checking `wted'... chkwtmp: nothing deleted Checking `scalper'... not infected Checking `slapper'... not infected Checking `z2'... chklastlog: nothing deleted Checking `chkutmp'... The tty of the following user process(es) were not found in /var/run/utmp ! ! RUID PID TTY CMD ! root 5029 tty1 /sbin/mingetty tty1 chkutmp: nothing deleted Aquí me sale que están utilizando el puerto 600 que según en http://docs.info.apple.com/article.html?artnum=106439-es es un Servicios basados en RPC de Mac OS X Usado, por ejemplo, por NetInfo y quiero ver si es que hay alguna herramienta o método para poder eliminar este rootkit de ese servidor. Con lsof -i :600 me sale: COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME rpc.statd 2120 root 6u IPv4 5932 UDP *:ipcserver Y con netstat -lnp | grep 600 me sale: udp 0 0 0.0.0.0:600 0.0.0.0:* 2120/rpc.statd Espero me puedan dar una idea de que poder hacer o si es recomendable reinstalar dicho servidor. Gracias por los comentarios que me puedan dar y como se dice, siempre hay una primera vez. |
||||||
|
|||||||
| Santiago Fernandez |
|
||||||
Participa poco  Estado: desconectado Identificado: 30/03/07 Mensajes: 27 Localización:Hurlingham Buenos Aires Argentina |
Uhhh un rootkit...
Veo que probaste con chrootkit...debe ser suckit.... Te digo q lo mejor va a ser reinstalar el sistema y el cambio de claves... |
||||||
|
|||||||
| gutierrezr |
|
||||||
|
Moderador  Estado: desconectado Identificado: 28/03/07 Mensajes: 179 |
quiero darte un par de recomendaciones , un rootkit se pega con los sintomas mas comunes en los administradores de red , cuando descargas software mocosoft winsock directamente del servidor , cuando lo usas para visitar tipo de paginas indeseadas , etc etc
wget http://mocosoftsoftware eso nunca se debe hacer en un servidor en produccion , mas cuando usas la cuenta del root .. con el chkrootkit , el deberia borrarlo saludoss |
||||||
|
|||||||
| suttilakha |
|
||||||
|
Nuevo  Estado: desconectado Identificado: 17/09/07 Mensajes: 10 |
Lo recomendable en estos casos es la re instalación del sistema operativo, el objetivo de un rootkit es dejar puertas abiertas y esconderse muy bien en tu sistema de archivos, así que ejecutar comandos que te permitan ver que puertos estan abiertos o que archivos nuevos están en tu sistema de archivos siempre serán datos sospechosos.
Saludos, José Luis Medina Usuario GNU/Linux Nº 478673 Distro: Gentoo Quito - Ecuador |
||||||
|
|||||||
11/10/07 06:57 (Leído 3,612 veces) 
Quote| Contenido generado en: 0.13 segundos |
New Topic
Post Reply
|
| Todas las horas son CST. Hora actual 10:09 . |
|
|
