Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss

Possible LKM Trojan installed

125 views
Skip to first unread message

JOSE -

unread,
Oct 13, 2004, 6:10:11 PM10/13/04
to
Hola amig@s:

Acabo de testear mi Debian (sid), con el programa,
chkrootkit.

He echo:

apt-get install chkrootkit; chkrootkit

Y el programa entre otras cosas me ha devuelto esto:

.
.
Checking `inetd'... not tested
.
.
Searching for anomalies in shell history files...
Warning: `//root/.bash_history' file size is zero
nothing found
.
.
Checking `lkm'... You have 9 process hidden for
readdir command
You have 9 process hidden for ps command
Warning: Possible LKM Trojan installed
.
.
Checking `sniffer'... lo: not promisc and no packet
sniffer sockets
.
.
eth0: PACKET SNIFFER(/sbin/dhclient[1800])
.
...


En la mayoria de los casos el test dice:
not infected o not found

Pero no se que esta pasando con las cosas que acabo de
poneros arriba.

Lkm me acaba de poner la mosca detras de la oreja y me
estoy empezando a poner nervioso!!!


Me poedeis echar un cable.

Salud!!!

Jac.


______________________________________________
Renovamos el Correo Yahoo!: ¡100 MB GRATIS!
Nuevos servicios, más seguridad
http://correo.yahoo.es


--
To UNSUBSCRIBE, email to debian-user-s...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listm...@lists.debian.org

JOSE -

unread,
Oct 14, 2004, 6:20:07 PM10/14/04
to
Hola denuevo amig@s:

Antes de nada quiero agrader la ayuda prestada a las
personas que habeis respondido a mi consulta.

He oteado por San Google y he visto algunas cosas,
aunque de ingles no entiendo ni papa he visto esta
URL:

http://www.wiggy.net/debian/developer-securing/

Creo que esta hace referencia al momento en que la
seguridad de nuestra distro favorita "DEBIAN" se vio
comprometida en varias maquinas.... bueno esto solo es
lo que yo creo, porque de las explicaciones no me
entero de la mitad.

He echo esto:

#chkrootkit -x lkm|less

y los resultados ha sido estos:

1.- Sin habrir las X:
---------------------

ROOTDIR is `/'
###
### Output of: ./chkproc -v -v
###

2.- Abriendo las X:
-------------------

ROOTDIR is `/'
###
### Output of: ./chkproc -v -v
###
PID 4644: not in readdir output
PID 4644: not in ps output
CWD 4644: /home/xman
EXE 4644: /usr/bin/nautilus
PID 4647: not in readdir output
PID 4647: not in ps output
CWD 4647: /home/xman
EXE 4647: /usr/lib/gnome-vfs2/gnome-vfs-daemon
PID 4668: not in readdir output
PID 4668: not in ps output
CWD 4668: /home/xman
EXE 4668: /usr/bin/nautilus
PID 4669: not in readdir output
PID 4669: not in ps output
CWD 4669: /home/xman
EXE 4669: /usr/bin/nautilus
PID 4670: not in readdir output
PID 4670: not in ps output
CWD 4670: /home/xman
EXE 4670: /usr/bin/nautilus
PID 4671: not in readdir output
PID 4671: not in ps output
CWD 4671: /home/xman
EXE 4671: /usr/bin/nautilus
PID 5917: not in readdir output
PID 5917: not in ps output
CWD 5917: /home/xman
EXE 5917: /usr/bin/gnome-terminal
PID 5928: not in readdir output
PID 5928: not in ps output
CWD 5928: /home/xman
EXE 5928: /usr/bin/gnome-cups-icon
You have 8 process hidden for readdir command
You have 8 process hidden for ps command


Despues he echo:

#ps -aux

Y he visto que estos 8 procesos no aparecen listados.

Utilizo el escritorio de Gnome, con el navegador
Nautilus, el gnome-term.... etc. y estos procesos que
lista "chkrootkit" son procesos normales de mi
escritorio, asique lo de la mosca detras de la oreja
ya se me ha pasado, pero lo de los nervios aun estoy
en ello (No entiendo porque "ps -aux" no los detalla).

Mi makina no tiene nada que ocultar.... pero no me
gustaria servir la lanzadera de algun craker y que mi
ip apareceira comprometida en algun asunto sucio.

Tambien cabria la posibilidad que alguien de manera
oculta me estuviese echando un cable.... cosa de
agradecer.... aunque menos probable. Llevo con
Software Libre unos tres años y hay muchas cosas que
aun ni huelo.

Bueno ya se que soy un pesao.... y no me quiero
enrrollar mas.

Si alguien sabe algo que yo desconozca sobre el tema
en cuestion y que a mi se me haya pasado, pues eso, le
agraceceria que lo contara.

Salud!!

Pato Valarezo

unread,
Oct 13, 2004, 6:30:17 PM10/13/04
to

Pues yo tuve alguna vez un problema similar y me di cuenta que
efectivamente habian ingresado a un servidor de un cliente, te
recomiendo que revises tus logs, desde el auth, syslog y algunos otros,
aunque por lo que leo el intruso ha borrado sus huellas del
.bash_history, busca en google sobre un sniffer o un troyano llamado
sukit, yo lo pude eliminar con exito de ese sistema puesto que al
parecer el niño travieso era inexperto.

suerte


--
patoVala
Linux User#280504
"Dios mira las manos limpias, no las llenas. -- Publio Siro. "

Hugo Vanwoerkom

unread,
Oct 14, 2004, 8:30:10 AM10/14/04
to
JOSE - wrote:
> Hola amig@s:
>
> Acabo de testear mi Debian (sid), con el programa,
> chkrootkit.
>
> He echo:
>
> apt-get install chkrootkit; chkrootkit
>
> Y el programa entre otras cosas me ha devuelto esto:
>
> .
> .
> Checking `inetd'... not tested
> .
> .
> Searching for anomalies in shell history files...
> Warning: `//root/.bash_history' file size is zero
> nothing found
> .
> .
> Checking `lkm'... You have 9 process hidden for
> readdir command
> You have 9 process hidden for ps command
> Warning: Possible LKM Trojan installed
> .

Puedes probar chkrootkit 0.44 de su webpage. Sid es 0.43 y creo que en
la lista inglés hubo bastante noticias acerca de esta "falla" de LKM
Trojan. Se puede download y run: no se necesita compilar.

Saludos,

Hugo.

Pato Valarezo

unread,
Oct 15, 2004, 10:10:09 AM10/15/04
to

Bueno!, mira no me hagas demasiado caso por que lo que te voy a contar
me ocurrió hace algunos meses y la memoria es frágil, de toooda la
documentación y casos que revise y encontré saqué las siguientes
conclusiones:

1. definitivamente tu equipo ha sido comprometido y se encuentra
funcionando como zoombie de algun proceso o procesos
2. claro que las herramientas usadas para este fin son en primer lugar
un sniffer que de alguna manera le permitio al intruso averiguar tu
clave de root o de algun usuario ( a mi se me colaron por el webmin,
usando un sniffer y ya que el boludo del administrador de ese equipo
hacia todo con root, bueno ahi está su merecido)
3. el rootkit que debieron haber instalado se encarga de reemplazar
primero el "ps" para ocultar los procesos que se ejecutan, de ahi el
error del readdir que no concuerda con lo que el ps deberia mostrar.
Tambien cambia otros comandos básicos, te sugiero que veas la fecha de
modificación de esos comandos para que te convenzas
4. el rootkit reemplaza el dhcp e instala un sniffer para ver que es lo
que estas pasando por toda tu red, osea, a estas alturas del partido el
intruso ya debe haber entrado y salido de tu red como si fuera su casa.
5. algo que veo que no has comentado pero que a mi me ocurrió fue que en
ciertos momentos no podía logearme usando root en la consola (no en x) y
salía las palabra " FUCK can't install ...." la verdad no lo recuerdo bien
6. tambien el rootkit se instala en /usr/share/locale y crea un
directorio como sk o otro nombre


todo esto me llevo a la conclusión de que en realidad mi equipo fue
atacado, luego de ver los logs encontré las huellas del intruso y desde
donde había hecho todo, tambien pude revertir todo el desastre. Entre
otras cosas pude bajar los rootkits que este tipo usó y estudiando los
scrupts pude revertir todo *espero*, te puedo enviar estos rootkits y
las direcciones de donde este travieso los obtuvo


No es una bonita experiencia y lamento ser portador de malas noticias
pero peor es que no te lo cuente, como te dije puede que este
completamente equivocado por que no soy un forense ni nada parecido para
mas info te sugiero que revises:


http://www.soohrt.org/stuff/linux/suckit/
http://openskills.info/view/boxdetail.php?IDbox=20&boxtype=stdout
http://www.phrack.org/show.php?p=58&a=7

--
patoVala
Linux User#280504
"La mejor manera de tener una buena idea es tener muchas ideas. --
Proverbio griego. "

0 new messages