Como eliminar un rootkit

Imagen de The One

Forums: 

Saludos compañeros, tengo un problema con un rootkit el cual está en el servidor CentOS 5 de un cliente, al cual le esta dando problemas con el canal del Ancho de Banda, ya que este se satura a cada rato y revisando en el MRTG parece que le están sacando info de la red o del servidor, instale el chkrootkit y al ejecutarlo al final me sale esto:

Searching for anomalies in shell history files... nothing found
Checking `asp'... not infected
Checking `bindshell'... INFECTED (PORTS: 600)
Checking `lkm'... chkproc: nothing detected
Checking `rexedcs'... not found
Checking `sniffer'... eth1: not promisc and no PF_PACKET sockets
eth0: not promisc and no PF_PACKET sockets
Checking `w55808'... not infected
Checking `wted'... chkwtmp: nothing deleted
Checking `scalper'... not infected
Checking `slapper'... not infected
Checking `z2'... chklastlog: nothing deleted
Checking `chkutmp'... The tty of the following user process(es) were not found
in /var/run/utmp !
! RUID PID TTY CMD
! root 5029 tty1 /sbin/mingetty tty1
chkutmp: nothing deleted

Aquí me sale que están utilizando el puerto 600 que según en http://docs.info.apple.com/article.html?artnum=106439-es es un Servicios basados en RPC de Mac OS X Usado, por ejemplo, por NetInfo, y quiero ver si es que hay alguna herramienta o método para poder eliminar este rootkit de ese servidor.

Con lsof -i :600 me sale:

COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME
rpc.statd 2120 root 6u IPv4 5932 UDP *:ipcserver

Y con netstat -lnp | grep 600 me sale:

udp 0 0 0.0.0.0:600 0.0.0.0:* 2120/rpc.statd

Espero me puedan dar una idea de que poder hacer, o si es recomendable reinstalar dicho servidor.

Gracias por los comentarios que me puedan dar y como se dice, siempre hay una primera vez.

el chkrootkit presenta

Imagen de Epe

el chkrootkit presenta muchos falsos positivos en las ultimas versiones de los kernels, usa el rkhunter por favor y verifica nuevamente

Saludos
epe
--
EcuaLinux.com
Ecuador: +(593) 9 9246504, +(593) 2 334 2795
USA: +1 305 359 4495, España: +34 91 7617884


Saludos
epe

EcuaLinux.com

+(593) 9 9924 6504

Servicios en Software Libre

Instale el rkhunter, y si me

Imagen de The One

Instale el rkhunter, y si me dio que estaba infectado al final:

--------------------- Scan results ------------------------

MD5 scan
Skipped

File scan
Scanned files: 342
Possible infected files: 1

Application scan
Vulnerable applications: 0

Scanning took 111 seconds

---------------------------------------------------------------

creo que ya no voy a poder

Imagen de The One

creo que ya no voy a poder hacer nada, la máquina murio, :( algo paso, al momento de reiniciar me sale todo en negro y solo con la opción de que no hay grub, y le saque el HD pa ver en otro equipo y naranjas, no hay nada en ese HD y como el cliente quiere el servidor para navegar me pidio que le instale el Debian.