Saludos.
La herramienta no limpia. Solo dice qué hay de malo o sospechoso. Dependiendo de lo que encuentre, habría que decidir qué camino seguir.
En CentOS rkhunter produce varios falsos positivos respecto a que algunos programas del sistema son en realidad scripts y sobre versiones desactualizadas (/sbin/ifdown, /sbin/ifup, /usr/bin/GET, /usr/bin/groups, /usr/bin/ldd, /usr/bin/whatis; archivos ocultos en /dev y las versiones de OpenSSH y OpenSSL). Estas advertencias generalmente es seguro ignorarlos si el sistema está actualizado. Si lo rojo que mencionas esta en la parte de rootkits, backdoors o cuentas, el sistema seguramente está comprometido. La buena práctica dicta que lo mejor es reinstalar.
Atte., Carlos Andrés Martínez
2015-09-30 13:31 GMT-05:00 Rhamyro Alcoser A. rhamyroal@gmail.com:
Estimado Carlos,
Ya logre instalar el rkhunter,
ejecute de la siguiente forma rkhunter -c en root y la verdad tengo algunos warning en rojo.
consulta la herramienta limpia o debo hacer almo mas de forma manual¡?
gracias por tu gran ayuda.
El 30 de septiembre de 2015, 12:52 p. m., Carlos Martinezcamarti@gmail.com escribió:
Saludos.
No. Rkhunter no altera ningún archivo del sistema.
Atte., Carlos Andrés Martínez
2015-09-30 12:11 GMT-05:00 Rhamyro Alcoser A. rhamyroal@gmail.com:
No afecta en nada al resto del sistema como te comente es un sistema en producción?
gracias por el dato.
El 30 de septiembre de 2015, 11:55 a. m., Carlos Martinez<
camarti@gmail.com>
escribió:
Saludos.
Descartando problemas de disco, El comportamiento que mencionas puede ser producido por un rootkit. Este modifica binarios esenciales del sistema y crea puertas traseras. Para evitar que sea eliminado, coloca atributo de inmutable a los binarios alterados. Como es un sistema que has heredado, existe la mínima posibilidad de que el administrador anterior le haya colocado el atributo de inmutable a determinados archivos, con el fin de 'proteger' el sistema.
Para salir de la duda verifica el sistema con rkhunter (http://rkhunter.sourceforge.net/)
El proceso para ello es mas o menos el siguiente:
Descarga rkhunter de la URL indicada
Instala rkhunter (desde consola como root):
tar zxf rkhunter-<version>.tar.gz cd rkhunter-<version> ./installer.sh --install
Ejecuta rkhunter con el siguiente comando (desde consola como root):
rkhunter --check
Hay que prestar especial atención a lo que sale de color rojo y a la sección de rookits.
No está de más desearte feliz cacería.
Atte., Carlos Andrés Martínez
2015-09-30 10:42 GMT-05:00 Rhamyro Alcoser A. rhamyroal@gmail.com:
Saludos Estimado Cesar,
por favor disculpa las molestias, antes q nada mi mundo es un poco
mas a
Windows y por razones de trabajo me toca tambien linux pero
principiante
con la ayuda de google.
me Alarmas con tus observaciones puede q así este y yo sin saber,
para el primer caso lo ejecute el comando y no encuentra ningún error,
para
el segundo puedes explicarme un poco mas por favor o ahy alguna
herramienta
que pueda hacer esto.
es un servidor de correo.
gracias por tus comentarios
estos comandos del otro amigo:
ls inmutable dice que no encuentra y chattr -i /bin/ls me ejecuta pero en realidad no envía ningún mensaje
todo lo estopy haciendo en modo super user o root
El 30 de septiembre de 2015, 10:08 a. m., Carlos Martinez<
camarti@gmail.com>
escribió:
Cordial saludo.
Eso en mi experiencia ocurre por dos razones:
Disco duro malo.
Sistema comprometido por un rootkit que ha reemplazado binarios
esenciales del sistema por otros alterados y les ha puesto un
atributo
de
no modificar (immutable).
El punto 1, se descarta/verifica con dmesg.
El punto 2, se descarta/verifica entrando a cada directorio (/bin,
/sbin,
/usr/bin, /usr/sbin) y haciendo un lsattr. Se puede recuperar el
sistema
pero lo mejor es reinstalar.
Atte., Carlos Andrés Martínez
2015-09-30 8:59 GMT-05:00 Rhamyro Alcoser A. rhamyroal@gmail.com:
> Saludos estimados amigos, > > Por favor agradezco su gentil ayuda y opiniones del siguiente
caso,
estoy
> queriendo actualizar el coreutils en un servidor en producción -
CENTOS
> 5.11 y me presenta el siguiente mensaje, según lo revisado me
indican que
> debo actualizar coreutils por mejoras en el sistema. > > Gracias por sus comentarios o sugerencias. > > ---------- > > > > Now updating coreutils .. > > > > Instalando paquete(s) con el comando yum -y install coreutils
..
> > > > Loaded plugins: fastestmirror > > Loading mirror speeds from cached hostfile > > * base: centos.ufms.br > > * extras: centos.ufms.br > > * updates: centos.ufms.br > > Setting up Install Process > > Resolving Dependencies > > --> Running transaction check > > ---> Package coreutils.i386 0:5.97-34.el5_8.1 set to be
updated
> > --> Finished Dependency Resolution > > > > Dependencies Resolved > > > > > >
================================================================================
> > Package Arch Version > Repository Size > > > >
================================================================================
> > Updating: > > > > Transaction Summary > > > >
================================================================================
> > Install 0 Package(s) > > Upgrade 1 Package(s) > > > > Total download size: 3.6 M > > Downloading Packages: > > Running rpm_check_debug > > Running Transaction Test > > Finished Transaction Test > > Transaction Test Succeeded > > Running Transaction > > Updating : > coreutils 1/2Error unpacking > rpm package coreutils-5.97-34.el5_8.1.i386 > > > > error: unpacking of archive failed on file /bin/ls: cpio:
rename
> > > > Failed: > > coreutils.i386 > 0:5.97-34.el5_8.1 > > > > Complete! > > > > .. ¡falló la instalación! > > > > > > > -- > > *Rhamyro Alcoser A.* > > *ITIL & Systems Development* > > *Mailto1:* rhamyroal@gmail.com > > *Mailto2:* rhamyroal@icloud.com rhamyroal@gmail.com > > *Skype: *rhamyroal@outlook.com ramiro861@hotmail.com > > *Quito - Ecuador * > > > *¿Qué, pues, diremos a esto? Si Dios es por nosotros, ¿quién
contra
> nosotros?, Rm 8:31* > _______________________________________________ > CentOS-es mailing list > CentOS-es@centos.org > https://lists.centos.org/mailman/listinfo/centos-es > _______________________________________________ CentOS-es mailing list CentOS-es@centos.org https://lists.centos.org/mailman/listinfo/centos-es
--
*Rhamyro Alcoser A.*
*ITIL & Systems Development*
*Mailto1:* rhamyroal@gmail.com
*Mailto2:* rhamyroal@icloud.com rhamyroal@gmail.com
*Skype: *rhamyroal@outlook.com ramiro861@hotmail.com
*Quito - Ecuador *
*¿Qué, pues, diremos a esto? Si Dios es por nosotros, ¿quién contra nosotros?, Rm 8:31* _______________________________________________ CentOS-es mailing list CentOS-es@centos.org https://lists.centos.org/mailman/listinfo/centos-es
CentOS-es mailing list CentOS-es@centos.org https://lists.centos.org/mailman/listinfo/centos-es
--
*Rhamyro Alcoser A.*
*ITIL & Systems Development*
*Mailto1:* rhamyroal@gmail.com
*Mailto2:* rhamyroal@icloud.com rhamyroal@gmail.com
*Skype: *rhamyroal@outlook.com ramiro861@hotmail.com
*Quito - Ecuador *
*¿Qué, pues, diremos a esto? Si Dios es por nosotros, ¿quién contra nosotros?, Rm 8:31* _______________________________________________ CentOS-es mailing list CentOS-es@centos.org https://lists.centos.org/mailman/listinfo/centos-es
CentOS-es mailing list CentOS-es@centos.org https://lists.centos.org/mailman/listinfo/centos-es
--
*Rhamyro Alcoser A.*
*ITIL & Systems Development*
*Mailto1:* rhamyroal@gmail.com
*Mailto2:* rhamyroal@icloud.com rhamyroal@gmail.com
*Skype: *rhamyroal@outlook.com ramiro861@hotmail.com
*Quito - Ecuador *
*¿Qué, pues, diremos a esto? Si Dios es por nosotros, ¿quién contra nosotros?, Rm 8:31* _______________________________________________ CentOS-es mailing list CentOS-es@centos.org https://lists.centos.org/mailman/listinfo/centos-es