Cursos Servidores con Centos 6
Sistema Operativo ALDOS
Dezoft

Si algunos de nuestros foros, manuales, ALDOS, paquetería o proyectos te han resultado de ayuda, apreciaremos mucho nos apoyes con un donativo.

 Índice > Todo acerca de Linux > Seguridad Nuevo tema Publicar Respuesta
 Como eliminar un rootkit
Tema anterior Tema siguiente
   
David Rosado
Publicado en 11/10/07 11:57 (Leído 3187 veces)  

Moderador
Forum User

Inscrito: 21/02/07 Publicaciones: 153
País:Ecuador
Saludos compañeros, tengo un problema con un rootkit el cual está en el servidor CentOS 5 de un cliente, al cual le esta dando problemas con el canal del Ancho de Banda, ya que este se satura a cada rato y revisando en el MRTG parece que le están sacando info de la red o del servidor, instale el chkrootkit y al ejecutarlo al final me sale esto:

Searching for anomalies in shell history files... nothing found
Checking `asp'... not infected
Checking `bindshell'... INFECTED (PORTS: 600)
Checking `lkm'... chkproc: nothing detected
Checking `rexedcs'... not found
Checking `sniffer'... eth1: not promisc and no PF_PACKET sockets
eth0: not promisc and no PF_PACKET sockets
Checking `w55808'... not infected
Checking `wted'... chkwtmp: nothing deleted
Checking `scalper'... not infected
Checking `slapper'... not infected
Checking `z2'... chklastlog: nothing deleted
Checking `chkutmp'... The tty of the following user process(es) were not found
in /var/run/utmp !
! RUID PID TTY CMD
! root 5029 tty1 /sbin/mingetty tty1
chkutmp: nothing deleted

Aquí me sale que están utilizando el puerto 600 que según en http://docs.info.apple.com/article.html?artnum=106439-es es un Servicios basados en RPC de Mac OS X Usado, por ejemplo, por NetInfo y quiero ver si es que hay alguna herramienta o método para poder eliminar este rootkit de ese servidor.

Con lsof -i :600 me sale:

COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME
rpc.statd 2120 root 6u IPv4 5932 UDP *:ipcserver

Y con netstat -lnp | grep 600 me sale:

udp 0 0 0.0.0.0:600 0.0.0.0:* 2120/rpc.statd

Espero me puedan dar una idea de que poder hacer o si es recomendable reinstalar dicho servidor.

Gracias por los comentarios que me puedan dar y como se dice, siempre hay una primera vez.
 
Perfil
 Citar
Santiago Fernandez
Publicado en 12/10/07 02:14  

Participa poco
Forum User

Inscrito: 30/03/07 Publicaciones: 27
País:Hurlingham Buenos Aires Argentina
Uhhh un rootkit...

Veo que probaste con chrootkit...debe ser suckit....

Te digo q lo mejor va a ser reinstalar el sistema y el cambio de claves...
 
Perfil
 Citar
gutierrezr
Publicado en 30/01/08 08:39  

Moderador
Forum User

Inscrito: 28/03/07 Publicaciones: 178
quiero darte un par de recomendaciones , un rootkit se pega con los sintomas mas comunes en los administradores de red , cuando descargas software mocosoft winsock directamente del servidor , cuando lo usas para visitar tipo de paginas indeseadas , etc etc

wget http://mocosoftsoftware

eso nunca se debe hacer en un servidor en produccion , mas cuando usas la cuenta del root ..

con el chkrootkit , el deberia borrarlo

saludoss
 
Perfil
 Citar
suttilakha
Publicado en 02/02/09 10:21  

Nuevo
Forum User

Inscrito: 17/09/07 Publicaciones: 10
Lo recomendable en estos casos es la re instalación del sistema operativo, el objetivo de un rootkit es dejar puertas abiertas y esconderse muy bien en tu sistema de archivos, así que ejecutar comandos que te permitan ver que puertos estan abiertos o que archivos nuevos están en tu sistema de archivos siempre serán datos sospechosos.


Saludos,


José Luis Medina Usuario GNU/Linux Nº 478673 Distro: Gentoo Quito - Ecuador
 
Perfil
 Citar
Contenido generado en: 0,08 segundos Nuevo tema Publicar Respuesta
 Todas las horas son UTC. Hora actual 09:44 .
Tema normal Tema normal
Tema persistente Tema persistente
Tema cerrado Tema cerrado
Nueva publicación Nueva publicación
Persistente con nueva publicación Persistente con nueva publicación
Cerrado con nueva publicación Cerrado con nueva publicación
Ver publicaciones anónimas 
Usuarios anónimos pueden publicar 
Se permite HTML Filtrado 
Contenido censurado