Forums:
Saludos compañeros, tengo un problema con un rootkit el cual está en el servidor CentOS 5 de un cliente, al cual le esta dando problemas con el canal del Ancho de Banda, ya que este se satura a cada rato y revisando en el MRTG parece que le están sacando info de la red o del servidor, instale el chkrootkit y al ejecutarlo al final me sale esto:
Searching for anomalies in shell history files... nothing found
Checking `asp'... not infected
Checking `bindshell'... INFECTED (PORTS: 600)
Checking `lkm'... chkproc: nothing detected
Checking `rexedcs'... not found
Checking `sniffer'... eth1: not promisc and no PF_PACKET sockets
eth0: not promisc and no PF_PACKET sockets
Checking `w55808'... not infected
Checking `wted'... chkwtmp: nothing deleted
Checking `scalper'... not infected
Checking `slapper'... not infected
Checking `z2'... chklastlog: nothing deleted
Checking `chkutmp'... The tty of the following user process(es) were not found
in /var/run/utmp !
! RUID PID TTY CMD
! root 5029 tty1 /sbin/mingetty tty1
chkutmp: nothing deleted
Aquí me sale que están utilizando el puerto 600 que según en http://docs.info.apple.com/article.html?artnum=106439-es es un Servicios basados en RPC de Mac OS X Usado, por ejemplo, por NetInfo, y quiero ver si es que hay alguna herramienta o método para poder eliminar este rootkit de ese servidor.
Con lsof -i :600 me sale:
COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME
rpc.statd 2120 root 6u IPv4 5932 UDP *:ipcserver
Y con netstat -lnp | grep 600 me sale:
udp 0 0 0.0.0.0:600 0.0.0.0:* 2120/rpc.statd
Espero me puedan dar una idea de que poder hacer, o si es recomendable reinstalar dicho servidor.
Gracias por los comentarios que me puedan dar y como se dice, siempre hay una primera vez.
el chkrootkit presenta
el chkrootkit presenta muchos falsos positivos en las ultimas versiones de los kernels, usa el rkhunter por favor y verifica nuevamente
Saludos
epe
--
EcuaLinux.com
Ecuador: +(593) 9 9246504, +(593) 2 334 2795
USA: +1 305 359 4495, España: +34 91 7617884
Saludos
epe
EcuaLinux.com
+(593) 9 9924 6504
Servicios en Software Libre
ok EPE, instalare el
ok EPE, instalare el rkhunter para ver que mismo sale.
Instale el rkhunter, y si me
Instale el rkhunter, y si me dio que estaba infectado al final:
--------------------- Scan results ------------------------
MD5 scan
Skipped
File scan
Scanned files: 342
Possible infected files: 1
Application scan
Vulnerable applications: 0
Scanning took 111 seconds
---------------------------------------------------------------
Mira el log de ejecucion del
Mira el log de ejecucion del rkhunter y mira los detalles de la infeccion y luego STFW a ver que puedes hacer
bye
:)
creo que ya no voy a poder
creo que ya no voy a poder hacer nada, la máquina murio, :( algo paso, al momento de reiniciar me sale todo en negro y solo con la opción de que no hay grub, y le saque el HD pa ver en otro equipo y naranjas, no hay nada en ese HD y como el cliente quiere el servidor para navegar me pidio que le instale el Debian.