chkrootkit, encuentra en Fedora ... (Solucionado)

Todos los temas relacionados con la seguridad en Linux

Moderadores: doc, ps-ax

Responder
Zamana
Forista Mayor
Forista Mayor
Mensajes: 520
Registrado: Dom Jun 23, 2013 10:56 pm
Ubicación: USA

chkrootkit, encuentra en Fedora ... (Solucionado)

Mensaje por Zamana » Jue Ago 22, 2013 8:55 pm

Hola,

Recien instalo Fedora y descubro con chkrootkit que hay un file infectado:

Searching for Suckit rootkit... Warning: /sbin/init INFECTED

No se cual es el modo de limpiar esto, si alguien me puede orientar con alguna explicacion, gracias.

[ananta60@localhost ~]$ su
Contraseña:
[root@localhost ananta60]# chkrookit
bash: chkrookit: comando no encontrado...
[root@localhost ananta60]# yum install chkrootkit
Complementos cargados:langpacks, refresh-packagekit
Resolviendo dependencias
--> Ejecutando prueba de transacción
---> Paquete chkrootkit.x86_64 0:0.49-7.fc19 debe ser instalado
--> Resolución de dependencias finalizada

Dependencias resueltas

================================================================================
Package Arquitectura Versión Repositorio Tamaño
================================================================================
Instalando:
chkrootkit x86_64 0.49-7.fc19 fedora 354 k

Resumen de la transacción
================================================================================
Instalar 1 Paquete

Tamaño total de la descarga: 354 k
Tamaño instalado: 965 k
Is this ok [y/d/N]: y
Downloading packages:
chkrootkit-0.49-7.fc19.x86_64.rpm | 354 kB 00:00
Running transaction check
Running transaction test
Transaction test succeeded
Running transaction
Instalando : chkrootkit-0.49-7.fc19.x86_64 1/1
Comprobando : chkrootkit-0.49-7.fc19.x86_64 1/1

Instalado:
chkrootkit.x86_64 0:0.49-7.fc19

¡Listo!
[root@localhost ananta60]# chkrootkit
ROOTDIR is `/'
Checking `amd'... not found
Checking `basename'... not infected
Checking `biff'... not found
Checking `chfn'... not infected
Checking `chsh'... not infected
Checking `cron'... not infected
Checking `crontab'... not infected
Checking `date'... not infected
Checking `du'... not infected
Checking `dirname'... not infected
Checking `echo'... not infected
Checking `egrep'... not infected
Checking `env'... not infected
Checking `find'... not infected
Checking `fingerd'... not found
Checking `gpm'... not found
Checking `grep'... not infected
Checking `hdparm'... not found
Checking `su'... not infected
Checking `ifconfig'... not infected
Checking `inetd'... not found
Checking `inetdconf'... not found
Checking `identd'... not found
Checking `init'... not infected
Checking `killall'... not infected
Checking `ldsopreload'... not infected
Checking `login'... not infected
Checking `ls'... not infected
Checking `lsof'... not infected
Checking `mail'... not found
Checking `mingetty'... not found
Checking `netstat'... not infected
Checking `named'... not found
Checking `passwd'... not infected
Checking `pidof'... not infected
Checking `pop2'... not found
Checking `pop3'... not found
Checking `ps'... not infected
Checking `pstree'... not infected
Checking `rpcinfo'... not infected
Checking `rlogind'... not found
Checking `rshd'... not found
Checking `slogin'... not infected
Checking `sendmail'... not infected
Checking `sshd'... not infected
Checking `syslogd'... not tested
Checking `tar'... not infected
Checking `tcpd'... not infected
Checking `tcpdump'... not infected
Checking `top'... not infected
Checking `telnetd'... not found
Checking `timed'... not found
Checking `traceroute'... not infected
Checking `vdir'... not infected
Checking `w'... not infected
Checking `write'... not infected
Checking `aliens'... no suspect files
Searching for sniffer's logs, it may take a while... nothing found
Searching for HiDrootkit's default dir... nothing found
Searching for t0rn's default files and dirs... nothing found
Searching for t0rn's v8 defaults... nothing found
Searching for Lion Worm default files and dirs... nothing found
Searching for RSHA's default files and dir... nothing found
Searching for RH-Sharpe's default files... nothing found
Searching for Ambient's rootkit (ark) default files and dirs... nothing found
Searching for suspicious files and dirs, it may take a while...
/usr/lib/debug/usr/.dwz

Searching for LPD Worm files and dirs... nothing found
Searching for Ramen Worm files and dirs... nothing found
Searching for Maniac files and dirs... nothing found
Searching for RK17 files and dirs... nothing found
Searching for Ducoci rootkit... nothing found
Searching for Adore Worm... nothing found
Searching for ShitC Worm... nothing found
Searching for Omega Worm... nothing found
Searching for Sadmind/IIS Worm... nothing found
Searching for MonKit... nothing found
Searching for Showtee... nothing found
Searching for OpticKit... nothing found
Searching for T.R.K... nothing found
Searching for Mithra... nothing found
Searching for LOC rootkit... nothing found
Searching for Romanian rootkit... nothing found
Searching for HKRK rootkit... nothing found
Searching for Suckit rootkit... Warning: /sbin/init INFECTED
Searching for Volc rootkit... nothing found
Searching for Gold2 rootkit... nothing found
Searching for TC2 Worm default files and dirs... nothing found
Searching for Anonoying rootkit default files and dirs... nothing found
Searching for ZK rootkit default files and dirs... nothing found
Searching for ShKit rootkit default files and dirs... nothing found
Searching for AjaKit rootkit default files and dirs... nothing found
Searching for zaRwT rootkit default files and dirs... nothing found
Searching for Madalin rootkit default files... nothing found
Searching for Fu rootkit default files... nothing found
Searching for ESRK rootkit default files... nothing found
Searching for rootedoor... nothing found
Searching for ENYELKM rootkit default files... nothing found
Searching for common ssh-scanners default files... nothing found
Searching for anomalies in shell history files... nothing found
Checking `asp'... not infected
Checking `bindshell'... not infected
Checking `lkm'... chkproc: nothing detected
chkdirs: nothing detected
Checking `rexedcs'... not found
Checking `sniffer'... p3p1: PF_PACKET(/usr/sbin/wpa_supplicant (deleted), /usr/sbin/dhclient)
wlp2s0: PF_PACKET(/usr/sbin/wpa_supplicant (deleted), /usr/sbin/wpa_supplicant (deleted), /usr/sbin/dhclient)
Checking `w55808'... not infected
Checking `wted'... chkwtmp: nothing deleted
Checking `scalper'... not infected
Checking `slapper'... not infected
Checking `z2'... chklastlog: nothing deleted
Checking `chkutmp'... The tty of the following user process(es) were not found
in /var/run/utmp !
! RUID PID TTY CMD
! root 430 tty1 /usr/bin/Xorg :0 -background none -verbose -auth /run/gdm/auth-for-gdm-2jlpsC/database -seat seat0 -nolisten tcp vt1
chkutmp: nothing deleted
Checking `OSX_RSPLUG'... not infected
[root@localhost ananta60]#
Última edición por Zamana el Vie Ago 23, 2013 7:31 pm, editado 1 vez en total.
"Me lo contaron y lo olvidé. Lo vi y lo entendí. Lo hice y lo aprendí." -- Confucio.
MetTxin
Forista Medio
Forista Medio
Mensajes: 331
Registrado: Mié Abr 27, 2011 11:32 am

Re: chkrootkit, encuentra en Fedora ...

Mensaje por MetTxin » Jue Ago 22, 2013 11:49 pm

Quizás sea un falso positivo. Repasa este hilo, igual te sirve.

http://ubuntu-virginia.ubuntuforums.org ... ?t=1554553

saludos,
Zamana
Forista Mayor
Forista Mayor
Mensajes: 520
Registrado: Dom Jun 23, 2013 10:56 pm
Ubicación: USA

Re: chkrootkit, encuentra en Fedora ...

Mensaje por Zamana » Vie Ago 23, 2013 12:46 am

Hola,

Hice a la final 'lo mismo que el', pero no se si entiendo 'lo mismo que el entendio', instale rkhunter, pero lo corro y me da algo que no se como evaluar ... gracias, un saludo.

¡Listo!
[root@localhost ananta60]# rkhunter

Usage: rkhunter {--check | --unlock | --update | --versioncheck |
--propupd [{filename | directory | package name},...] |
--list [{tests | {lang | languages} | rootkits | perl | propfiles}] |
--config-check | --version | --help} [options]

Current options are:
--append-log Append to the logfile, do not overwrite
--bindir <directory>... Use the specified command directories
-c, --check Check the local system
-C, --config-check Check the configuration file(s), then exit
--cs2, --color-set2 Use the second color set for output
--configfile <file> Use the specified configuration file
--cronjob Run as a cron job
(implies -c, --sk and --nocolors options)
--dbdir <directory> Use the specified database directory
--debug Debug mode
(Do not use unless asked to do so)
--disable <test>[,<test>...] Disable specific tests
(Default is to disable no tests)
--display-logfile Display the logfile at the end
--enable <test>[,<test>...] Enable specific tests
(Default is to enable all tests)
--hash {MD5 | SHA1 | SHA224 | SHA256 | SHA384 | SHA512 |
NONE | <command>} Use the specified file hash function
(Default is SHA1, then MD5)
-h, --help Display this help menu, then exit
--lang, --language <language> Specify the language to use
(Default is English)
--list [tests | languages | List the available test names, languages,
rootkits | perl | rootkit names, perl module status
propfiles] or file properties database, then exit
-l, --logfile [file] Write to a logfile
(Default is /var/log/rkhunter.log)
--noappend-log Do not append to the logfile, overwrite it
--nocf Do not use the configuration file entries
for disabled tests (only valid with --disable)
--nocolors Use black and white output
--nolog Do not write to a logfile
--nomow, --no-mail-on-warning Do not send a message if warnings occur
--ns, --nosummary Do not show the summary of check results
--novl, --no-verbose-logging No verbose logging
--pkgmgr {RPM | DPKG | BSD | Use the specified package manager to obtain or
SOLARIS | NONE} verify file property values. (Default is NONE)
--propupd [file | directory | Update the entire file properties database,
package]... or just for the specified entries
-q, --quiet Quiet mode (no output at all)
--rwo, --report-warnings-only Show only warning messages
--sk, --skip-keypress Don't wait for a keypress after each test
--summary Show the summary of system check results
(This is the default)
--syslog [facility.priority] Log the check start and finish times to syslog
(Default level is authpriv.notice)
--tmpdir <directory> Use the specified temporary directory
--unlock Unlock (remove) the lock file
--update Check for updates to database files
--vl, --verbose-logging Use verbose logging (on by default)
-V, --version Display the version number, then exit
--versioncheck Check for latest version of program
-x, --autox Automatically detect if X is in use
-X, --no-autox Do not automatically detect if X is in use

[root@localhost ananta60]#
"Me lo contaron y lo olvidé. Lo vi y lo entendí. Lo hice y lo aprendí." -- Confucio.
MetTxin
Forista Medio
Forista Medio
Mensajes: 331
Registrado: Mié Abr 27, 2011 11:32 am

Re: chkrootkit, encuentra en Fedora ...

Mensaje por MetTxin » Vie Ago 23, 2013 11:32 am

Zamana escribió:Hola,

Hice a la final 'lo mismo que el', pero no se si entiendo 'lo mismo que el entendio', instale rkhunter, pero lo corro y me da algo que no se como evaluar ... gracias, un saludo.
Ahí te saca las opciones del comando, nada más, la sección --help, para que elijas la acción que quieras. Por ejemplo...

-c, --check Check the local system

Código: Seleccionar todo

rkhunter --check
Lo cierto es que me extrañaría que en un Fedora recién instalado tengas nada extraño, a no ser que hayas hecho cosas poco habituales.

saludos
Zamana
Forista Mayor
Forista Mayor
Mensajes: 520
Registrado: Dom Jun 23, 2013 10:56 pm
Ubicación: USA

Re: chkrootkit, encuentra en Fedora ...

Mensaje por Zamana » Vie Ago 23, 2013 5:43 pm

Hola MetTinx,

Encontre 'otro' Fedora en las listas de entradas del grub, y le pase rkhunter, de cualquier manera reinstalare, pero te pondre aqui un resumen de lo que encuentra el chequeo ya que es una enorme lista, veo algunos warnings:

Checking system commands...

Performing 'strings' command checks
Checking 'strings' command [ OK ]

Performing 'shared libraries' checks
Checking for preloading variables [ None found ]
Checking for preloaded libraries [ None found ]
Checking LD_LIBRARY_PATH variable [ Not found ]

Performing file properties checks


Checking for prerequisites [ Warning ]
/usr/bin/awk [ OK ]

/usr/sbin/ifconfig [ OK ]
/usr/sbin/ifdown [ Warning ]
/usr/sbin/ifup [ Warning ]
/usr/sbin/init [ OK ]


Checking for passwd file changes [ Warning ]
Checking for group file changes [ Warning ]
Checking root account shell history files [ OK ]


El cuadro resumen al final:


System checks summary
=====================

File properties checks...
Required commands check failed
Files checked: 130
Suspect files: 2

Rootkit checks...
Rootkits checked : 310
Possible rootkits: 0

Applications checks...
All checks skipped

The system checks took: 2 minutes and 40 seconds

All results have been written to the log file (/var/log/rkhunter/rkhunter.log)

One or more warnings have been found while checking the system.
Please check the log file (/var/log/rkhunter/rkhunter.log)

[root@localhost ananta60]#

Editado -- Vie Ago 23, 2013 5:43 pm --

Hago lo que indica pero ...

[root@localhost ananta60]# /var/log/rkhunter/rkhunter.log
bash: /var/log/rkhunter/rkhunter.log: Permiso denegado
[root@localhost ananta60]#
"Me lo contaron y lo olvidé. Lo vi y lo entendí. Lo hice y lo aprendí." -- Confucio.
MetTxin
Forista Medio
Forista Medio
Mensajes: 331
Registrado: Mié Abr 27, 2011 11:32 am

Re: chkrootkit, encuentra en Fedora ...

Mensaje por MetTxin » Vie Ago 23, 2013 5:47 pm

Zamana escribió:Hola MetTinx,

Encontre 'otro' Fedora en las listas de entradas del grub, y le pase rkhunter, de cualquier manera reinstalare, pero te pondre aqui un resumen de lo que encuentra el chequeo ya que es una enorme lista, veo algunos warnings:
En general por los warnings no creo que debas preocuparte. Tampoco sé gran cosa sobre rootkits, por no decir nada, je . De todas formas las posibilidades de que tengas uno instalado son mínimas siendo uno cuidadoso, y su esperanza de vida ínfima, vistos los palos que les metes a tus instalaciones ;)
Zamana
Forista Mayor
Forista Mayor
Mensajes: 520
Registrado: Dom Jun 23, 2013 10:56 pm
Ubicación: USA

Re: chkrootkit, encuentra en Fedora ...

Mensaje por Zamana » Vie Ago 23, 2013 7:30 pm

O'k gracias MetTxin, hombre cuando los hijos se portan mal hay que darles su porrazo de vez en cuando!

Saludos.
"Me lo contaron y lo olvidé. Lo vi y lo entendí. Lo hice y lo aprendí." -- Confucio.
Avatar de Usuario
mcun
Administrador
Administrador
Mensajes: 3888
Registrado: Lun Abr 19, 2010 12:30 am
Ubicación: En una de las nalgas del culo del mundo (según la Bersuit Vergarabat)
Contactar:

Re: chkrootkit, encuentra en Fedora ... (Solucionado)

Mensaje por mcun » Mar Nov 12, 2013 7:52 pm

por favor Zamana usa las etiquetas code para postar código

sls
Los programadores de verdad no documentan. La documentación es para los idiotas que no pueden leer un volcado de memoria.

Trusted Network and Developer | Lee el Reglamento !! |WIKI-EL | Twitter @mr_mcun
Debian + TTY | ArchLinux + awesome | openSUSE + Gnome-Shell | Linux User #508809
Avatar de Usuario
hmg79
Forista Legendario
Forista Legendario
Mensajes: 2211
Registrado: Lun Mar 31, 2008 8:00 am

Re: chkrootkit, encuentra en Fedora ... (Solucionado)

Mensaje por hmg79 » Mié Nov 13, 2013 4:25 am

Andabas perdido amigo mcun pero hace casi un mes que Zamana desaparecio del foro, va es una forma elegante de decir que de tanto que le jodimos conseguimos que el señor mayor se enojara y se vaya.-
Avatar de Usuario
mcun
Administrador
Administrador
Mensajes: 3888
Registrado: Lun Abr 19, 2010 12:30 am
Ubicación: En una de las nalgas del culo del mundo (según la Bersuit Vergarabat)
Contactar:

Re: chkrootkit, encuentra en Fedora ... (Solucionado)

Mensaje por mcun » Mié Nov 13, 2013 7:04 am

es que no encontraba el teclado XDD en fin un gusto de leerte...

bueno al parecer y por lo que he leído eso ha pasado perooooo ya volverá con otro sosias similar
Los programadores de verdad no documentan. La documentación es para los idiotas que no pueden leer un volcado de memoria.

Trusted Network and Developer | Lee el Reglamento !! |WIKI-EL | Twitter @mr_mcun
Debian + TTY | ArchLinux + awesome | openSUSE + Gnome-Shell | Linux User #508809
Avatar de Usuario
hmg79
Forista Legendario
Forista Legendario
Mensajes: 2211
Registrado: Lun Mar 31, 2008 8:00 am

Re: chkrootkit, encuentra en Fedora ... (Solucionado)

Mensaje por hmg79 » Mié Nov 13, 2013 6:16 pm

mcun escribió:es que no encontraba el teclado XDD en fin un gusto de leerte...

bueno al parecer y por lo que he leído eso ha pasado perooooo ya volverá con otro sosias similar
::lol:: , y es jodido cuando desaparece el teclado. igualmente es un gusto que hayas vuelto.-

Y hay que ver esperemos que no y si vuelve acá estoy dispuesto a ................... .- :wink:
Responder
  • Similar Topics
    Respuestas
    Vistas
    Último mensaje