From ercrokan en gmail.com Fri Apr 18 01:34:10 2008 From: ercrokan en gmail.com (Pedro Jose) Date: Fri, 18 Apr 2008 07:34:10 +0200 Subject: [Linux] =?iso-8859-1?q?=BFPosible_Debian_comprometido=3F?= Message-ID: Hola. Uso Debian Lenny/Sid en mi portátil, y pasando un escaner de rootkits con rkhunter he observado este warning: [20:00:55] /usr/sbin/tcpd [ Warning ] [20:00:55] Warning: The file properties have changed: [20:00:55] File: /usr/sbin/tcpd [20:00:55] Current hash: 3e0d17c38096dc8d37dfa8a77b105538195ca868 [20:00:55] Stored hash : 6baf27aec765fd337a578c7eae1fbb95f0721e49 [20:00:55] Current inode: 881192 Stored inode: 878091 [20:00:55] Current size: 4308 Stored size: 4304 [20:00:55] Current file modification time: 1207324330 [20:00:55] Stored file modification time : 1185732044 Entonces utilizo unhide sys y observo: [*]Searching for Hidden processes through getpriority() scanning [*]Searching for Hidden processes through getpgid() scanning [*]Searching for Hidden processes through getsid() scanning [*]Searching for Hidden processes through sched_getaffinity() scanning [*]Searching for Hidden processes through sched_getparam() scanning [*]Searching for Hidden processes through sched_getscheduler() scanning [*]Searching for Hidden processes through sched_rr_get_interval() scanning [*]Searching for Hidden processes through sysinfo() scanning HIDDEN Processes Found:2 El caso es que estaba probando usplash, así que he reiniciado la máquina. Al volver a pasar el test unhide sys: [*]Searching for Hidden processes through getpriority() scanning [*]Searching for Hidden processes through getpgid() scanning [*]Searching for Hidden processes through getsid() scanning [*]Searching for Hidden processes through sched_getaffinity() scanning [*]Searching for Hidden processes through sched_getparam() scanning [*]Searching for Hidden processes through sched_getscheduler() scanning [*]Searching for Hidden processes through sched_rr_get_interval() scanning [*]Searching for Hidden processes through sysinfo() scanning Ya no hay procesos ocultos. He buscado información pero no he visto falsos positivos con el demonio tcpd. ¿Estará mi máquina comprometida? Pensando un poco recuerdo una mañana que sin hacer nada especial el portátil estuvo unas 2 horas con la cpu al 96%. ¿Podríais ayudarme a averiguar si mi máquina está comprometida? From calculin en supercable.es Sat Apr 19 06:06:02 2008 From: calculin en supercable.es (Angel Luis Garcia Fernandez) Date: Sat, 19 Apr 2008 12:06:02 +0200 Subject: [Linux] =?iso-8859-1?q?=BFPosible_Debian_comprometido=3F?= In-Reply-To: References: Message-ID: <200804191206.02315.calculin@supercable.es> Pufff, en mi caso, me supera. Lo siento El Viernes, 18 de Abril de 2008 07:34, Pedro Jose escribió: > Hola. > > Uso Debian Lenny/Sid en mi portátil, y pasando un escaner de rootkits > con rkhunter he observado este warning: > > [20:00:55] /usr/sbin/tcpd [ Warning ] > [20:00:55] Warning: The file properties have changed: > [20:00:55] File: /usr/sbin/tcpd > [20:00:55] Current hash: 3e0d17c38096dc8d37dfa8a77b105538195ca868 > [20:00:55] Stored hash : 6baf27aec765fd337a578c7eae1fbb95f0721e49 > [20:00:55] Current inode: 881192 Stored inode: 878091 > [20:00:55] Current size: 4308 Stored size: 4304 > [20:00:55] Current file modification time: 1207324330 > [20:00:55] Stored file modification time : 1185732044 > > Entonces utilizo unhide sys y observo: > > [*]Searching for Hidden processes through getpriority() scanning > [*]Searching for Hidden processes through getpgid() scanning > [*]Searching for Hidden processes through getsid() scanning > [*]Searching for Hidden processes through sched_getaffinity() scanning > [*]Searching for Hidden processes through sched_getparam() scanning > [*]Searching for Hidden processes through sched_getscheduler() scanning > [*]Searching for Hidden processes through sched_rr_get_interval() scanning > [*]Searching for Hidden processes through sysinfo() scanning > HIDDEN Processes Found:2 > > El caso es que estaba probando usplash, así que he reiniciado la > máquina. Al volver a pasar el test unhide sys: > > [*]Searching for Hidden processes through getpriority() scanning > [*]Searching for Hidden processes through getpgid() scanning > [*]Searching for Hidden processes through getsid() scanning > [*]Searching for Hidden processes through sched_getaffinity() scanning > [*]Searching for Hidden processes through sched_getparam() scanning > [*]Searching for Hidden processes through sched_getscheduler() scanning > [*]Searching for Hidden processes through sched_rr_get_interval() scanning > [*]Searching for Hidden processes through sysinfo() scanning > > Ya no hay procesos ocultos. He buscado información pero no he visto > falsos positivos con el demonio tcpd. > > ¿Estará mi máquina comprometida? Pensando un poco recuerdo una mañana > que sin hacer nada especial el portátil estuvo unas 2 horas con la cpu > al 96%. > > ¿Podríais ayudarme a averiguar si mi máquina está comprometida? > > _______________________________________________ > Linux mailing list > Linux en linuxauen.net > http://mail.linuxauen.net/mailman/listinfo/linux_linuxauen.net From juangualberto en gmail.com Sun Apr 20 11:50:02 2008 From: juangualberto en gmail.com (Juan Gualberto Gutierrez Marin) Date: Sun, 20 Apr 2008 09:50:02 -0600 Subject: [Linux] =?iso-8859-1?q?=BFPosible_Debian_comprometido=3F?= In-Reply-To: References: Message-ID: <4efe844a0804200850h4d4ee8c7i98d7ce6282e83d7f@mail.gmail.com> ¡¡Hola Pedro!! ¿Usas unhide para ver los prcesos ocultos? ¿Has intentado unhide proc, unhide sys o unhide brute? Pasa la salida y podemos concretar más. Necesitas más información para saber qué está pasando, la próxima vez intenta: netatst -anp|less (por si estás mandando algo fuera o escuchando por conexiones) unhide-tcp Si ves conexiones que no te explicas ya puedes investigar si los procesos ocultos las abrieron (opción p del netstat). Otra posibilidad es que actualizaras el sistema y algún demonio lanzara un hijo que no ha muerto cuando debía al hacer la actualización... Espero que te sirva de ayuda... Un abrazo. P.D: Aunque creo que ya lo tienes usa también: apt-cache search forensic -- Juan Gualberto Gutierrez-Marin http://www.linkedin.com/in/juangualberto juangualberto en gmail.com Larry Smith Elementary School, Dallas, TX, USA juangu en ujaen.es University of Jaen, Spain Skype: juangu2.0 ------------ próxima parte ------------ Se ha borrado un adjunto en formato HTML... URL: http://mail.linuxauen.net/pipermail/linux_linuxauen.net/attachments/20080420/7a720daa/attachment.html From ercrokan en gmail.com Mon Apr 21 08:36:22 2008 From: ercrokan en gmail.com (Pedro Jose) Date: Mon, 21 Apr 2008 14:36:22 +0200 Subject: [Linux] =?iso-8859-1?q?Procesos_ocultos_en_Mandriva_=BFAgujero_de?= =?iso-8859-1?q?_seguridad=3F_=BFRootkits=3F?= Message-ID: Hola: Siguiendo el tema de la seguridad, en una Mandriva 2008 Spring que tengo en mi otro portátil, haciendo unas pruebas he detectado lo siguiente: con chkrootkit: The tty of the following user process(es) were not found in /var/run/utmp ! ! RUID PID TTY CMD ! root 4489 tty7 /etc/X11/X -br -deferglyphs 16 :0 vt7 -auth /var/run/xauth/A:0-DfEsco ! pmartin 13686 pts/1 /bin/bash ! pmartin 13721 pts/1 su ! root 13724 pts/1 bash ! root 14224 pts/1 /bin/sh /usr/sbin/chkrootkit -q ! root 15579 pts/1 /usr/lib/chkrootkit/chkutmp ! root 15580 pts/1 ps ax -o tty,pid,ruser,args Con rkhunter, me ha detectado scripts en ficheros que se supone no tenían que ser scripts, como /usr/bin/GET, pero al ser instalación limpia de media hora antes, los he añadido a la base de datos de rkhunter. Me ha detectado lo siguiente: Warning: The following processes are using deleted files: Process: /usr/bin/artsd PID: 2555 File: /dev/pts/2 Process: /usr/bin/Xorg PID: 4489 File: /dev/input/event9 Process: /usr/lib/gconfd-2 PID: 5419 File: /tmp/gconfd-pmartin/lock/0t1208755722ut499572u500p5419r1823152972k3219941624 Process: /usr/bin/kdeinit PID: 22521 File: /home/pmartin/tmp/kde-pmartin/khtmlcacheZblMMb.tmp Warning: Process '/sbin/dhclient' (PID 25370) is listening on the network. Warning: Hidden file found: /usr/share/man/man1/..1.lzma: DBase 3 data file (5120 records) ¿Procesos sospechosos? Al ver esto, he ido a ver los procesos ocultos que hay en el sistema con unhide (paquete instalado del debian con alien. Ha dado fallo de script al instalar pero los comandos se hacen bien): unhide-linux26 sys | unhide-linux26 proc | unhide-linux26 brute > procesos.txt ¡Me ha detectado 2374 procesos con PID oculta! ¡Cómo puede ser! De hecho, cuando hago un ps aux | grep "PID", no me lista ninguna de esas PID encontradas. Hago un unhide-tcp para ver si alguna aplicación está escuchando un puerto: Unhide-TCP 28-12-2005 yjesus en security-projects.com Starting TCP checking Starting UDP checking Parece que ningún proceso está escuchando puertos. En el firewall de mandriva tengo cerrado hasta la respuesta de ping, y cuando me hago un nmap veo: Starting Nmap 4.53 ( http://insecure.org ) at 2008-04-21 11:13 CEST Interesting ports on 192.168.0.25: Not shown: 1709 closed ports PORT STATE SERVICE 111/tcp open rpcbind 631/tcp open ipp 990/tcp open ftps 5679/tcp open activesync 6000/tcp open X11 Nmap done: 1 IP address (1 host up) scanned in 0.315 seconds Mis preguntas: ¿Cómo cierro estos puertos? ¿Es normal tener tantos procesos ocultos? -- Saludos, Pedro From ercrokan en gmail.com Mon Apr 21 08:37:53 2008 From: ercrokan en gmail.com (Pedro Jose) Date: Mon, 21 Apr 2008 14:37:53 +0200 Subject: [Linux] =?iso-8859-1?q?Resumen_de_Linux=2C_Vol_17=2C_Env=EDo_3?= In-Reply-To: References: Message-ID: Hola Juangu!! Cuanto tiempo! Espero que te vaya muy bien. En cuanto a los procesos, en la Debian no tengo ninguno oculto. Además, he visto que tcpd se ha actualizado en el log de apt, vamos, que ha sido todo una falsa alarma. El 20/04/08, linux-request en linuxauen.net escribió: > Envíe los mensajes para la lista Linux a > linux en linuxauen.net > > Para subscribirse o anular su subscripción a través de la WEB > http://mail.linuxauen.net/mailman/listinfo/linux_linuxauen.net > > O por correo electrónico, enviando un mensaje con el texto "help" en > el asunto (subject) o en el cuerpo a: > linux-request en linuxauen.net > > Puede contactar con el responsable de la lista escribiendo a: > linux-owner en linuxauen.net > > Si responde a algún contenido de este mensaje, por favor, edite la > linea del asunto (subject) para que el texto sea mas especifico que: > "Re: Contents of Linux digest...". Además, por favor, incluya en la > respuesta sólo aquellas partes del mensaje a las que está > respondiendo. > > > Asuntos del día: > > 1. Re: ¿Posible Debian comprometido? (Juan Gualberto Gutierrez Marin) > > > ---------------------------------------------------------------------- > > Message: 1 > Date: Sun, 20 Apr 2008 09:50:02 -0600 > From: "Juan Gualberto Gutierrez Marin" > Subject: Re: [Linux] ¿Posible Debian comprometido? > To: " Lista de los usuarios de Linux de Jaén " > Message-ID: > <4efe844a0804200850h4d4ee8c7i98d7ce6282e83d7f en mail.gmail.com> > Content-Type: text/plain; charset="iso-8859-1" > > ¡¡Hola Pedro!! > > ¿Usas unhide para ver los prcesos ocultos? > ¿Has intentado unhide proc, unhide sys o unhide brute? > Pasa la salida y podemos concretar más. > > Necesitas más información para saber qué está pasando, la próxima vez > intenta: > > netatst -anp|less (por si estás mandando algo fuera o escuchando por > conexiones) > unhide-tcp > > Si ves conexiones que no te explicas ya puedes investigar si los procesos > ocultos las abrieron (opción p del netstat). Otra posibilidad es que > actualizaras el sistema y algún demonio lanzara un hijo que no ha muerto > cuando debía al hacer la actualización... > > Espero que te sirva de ayuda... > > Un abrazo. > > P.D: Aunque creo que ya lo tienes usa también: > apt-cache search forensic > > > -- > Juan Gualberto Gutierrez-Marin > http://www.linkedin.com/in/juangualberto > juangualberto en gmail.com > Larry Smith Elementary School, Dallas, TX, USA > juangu en ujaen.es > University of Jaen, Spain > Skype: juangu2.0 > ------------ próxima parte ------------ > Se ha borrado un adjunto en formato HTML... > URL: http://mail.linuxauen.net/pipermail/linux_linuxauen.net/attachments/20080420/7a720daa/attachment-0001.html > > ------------------------------ > > _______________________________________________ > Linux mailing list > Linux en linuxauen.net > http://mail.linuxauen.net/mailman/listinfo/linux_linuxauen.net > > > Fin de Resumen de Linux, Vol 17, Envío 3 > **************************************** > -- Saludos, Pedro From ercrokan en gmail.com Mon Apr 21 08:52:26 2008 From: ercrokan en gmail.com (Pedro Jose) Date: Mon, 21 Apr 2008 14:52:26 +0200 Subject: [Linux] =?iso-8859-1?q?Fwd=3A_Procesos_ocultos_en_Mandriva_=BFAgu?= =?iso-8859-1?q?jero_de_seguridad=3F_=BFRootkits=3F?= In-Reply-To: References: Message-ID: Hola: Añado: Me parece haber encontrado el comando para ver procesos ocultos en linux: unhide-posix Haciendo unhide-posix proc | unhide-posix sys y redirigiendo la salida a un archivo me ha salido el siguiente listado: Found HIDDEN PID: <> Command: /usr/sbin/nscd (De estos hay unos cuantos, vamos, muchísimos) Found HIDDEN PID: <> Command: /usr/sbin/console-kit-daemon (De estos hay también muchos) Found HIDDEN PID: <> Command: /usr/bin/pulseaudio (De este solo hay uno) Found HIDDEN PID: <> Command: /usr/bin/artsd (De este solo hay uno) Found HIDDEN PID: <> Command: beagled (De estos hay también muchísimos) Found HIDDEN PID:<> Command: /usr/lib/firefox-2.0.0.13/mozilla-firefox-bin (De estos también hay unos cuantos) Found HIDDEN PID: 7388 Command: beagled-helper (De este hay unos pocos también) Found HIDDEN PID: 17800 Found HIDDEN PID: 17808 Found HIDDEN PID: 17817 Found HIDDEN PID: 17824 Found HIDDEN PID: 17833 Found HIDDEN PID: 17859 Found HIDDEN PID: 17868 Found HIDDEN PID: 17883 Found HIDDEN PID: 17892 Found HIDDEN PID: 17907 Found HIDDEN PID: 17916 Found HIDDEN PID: 17924 Found HIDDEN PID: 17932 Found HIDDEN PID: 17940 Estos no se sabe cuales son En fin, ¿son normales tantos procesos? ---------- Forwarded message ---------- From: Pedro Jose Date: 21-abr-2008 14:36 Subject: Procesos ocultos en Mandriva ¿Agujero de seguridad? ¿Rootkits? To: linux en linuxauen.net Hola: Siguiendo el tema de la seguridad, en una Mandriva 2008 Spring que tengo en mi otro portátil, haciendo unas pruebas he detectado lo siguiente: con chkrootkit: The tty of the following user process(es) were not found in /var/run/utmp ! ! RUID PID TTY CMD ! root 4489 tty7 /etc/X11/X -br -deferglyphs 16 :0 vt7 -auth /var/run/xauth/A:0-DfEsco ! pmartin 13686 pts/1 /bin/bash ! pmartin 13721 pts/1 su ! root 13724 pts/1 bash ! root 14224 pts/1 /bin/sh /usr/sbin/chkrootkit -q ! root 15579 pts/1 /usr/lib/chkrootkit/chkutmp ! root 15580 pts/1 ps ax -o tty,pid,ruser,args Con rkhunter, me ha detectado scripts en ficheros que se supone no tenían que ser scripts, como /usr/bin/GET, pero al ser instalación limpia de media hora antes, los he añadido a la base de datos de rkhunter. Me ha detectado lo siguiente: Warning: The following processes are using deleted files: Process: /usr/bin/artsd PID: 2555 File: /dev/pts/2 Process: /usr/bin/Xorg PID: 4489 File: /dev/input/event9 Process: /usr/lib/gconfd-2 PID: 5419 File: /tmp/gconfd-pmartin/lock/0t1208755722ut499572u500p5419r1823152972k3219941624 Process: /usr/bin/kdeinit PID: 22521 File: /home/pmartin/tmp/kde-pmartin/khtmlcacheZblMMb.tmp Warning: Process '/sbin/dhclient' (PID 25370) is listening on the network. Warning: Hidden file found: /usr/share/man/man1/..1.lzma: DBase 3 data file (5120 records) ¿Procesos sospechosos? Al ver esto, he ido a ver los procesos ocultos que hay en el sistema con unhide (paquete instalado del debian con alien. Ha dado fallo de script al instalar pero los comandos se hacen bien): unhide-linux26 sys | unhide-linux26 proc | unhide-linux26 brute > procesos.txt ¡Me ha detectado 2374 procesos con PID oculta! ¡Cómo puede ser! De hecho, cuando hago un ps aux | grep "PID", no me lista ninguna de esas PID encontradas. Hago un unhide-tcp para ver si alguna aplicación está escuchando un puerto: Unhide-TCP 28-12-2005 yjesus en security-projects.com Starting TCP checking Starting UDP checking Parece que ningún proceso está escuchando puertos. En el firewall de mandriva tengo cerrado hasta la respuesta de ping, y cuando me hago un nmap veo: Starting Nmap 4.53 ( http://insecure.org ) at 2008-04-21 11:13 CEST Interesting ports on 192.168.0.25: Not shown: 1709 closed ports PORT STATE SERVICE 111/tcp open rpcbind 631/tcp open ipp 990/tcp open ftps 5679/tcp open activesync 6000/tcp open X11 Nmap done: 1 IP address (1 host up) scanned in 0.315 seconds Mis preguntas: ¿Cómo cierro estos puertos? ¿Es normal tener tantos procesos ocultos? -- Saludos, Pedro -- Saludos, Pedro