UPS,
ahí si me jodieron esos rootkits, bueno ahi adjunto lo q me reporta la herramienta.
reinstalar esta medio fregado.
bueno muchas gracias por tu ayuda estimado Carlos.
El 30 de septiembre de 2015, 2:02 p. m., Carlos Martinezcamarti@gmail.com escribió:
Saludos.
La herramienta no limpia. Solo dice qué hay de malo o sospechoso. Dependiendo de lo que encuentre, habría que decidir qué camino seguir.
En CentOS rkhunter produce varios falsos positivos respecto a que algunos programas del sistema son en realidad scripts y sobre versiones desactualizadas (/sbin/ifdown, /sbin/ifup, /usr/bin/GET, /usr/bin/groups, /usr/bin/ldd, /usr/bin/whatis; archivos ocultos en /dev y las versiones de OpenSSH y OpenSSL). Estas advertencias generalmente es seguro ignorarlos si el sistema está actualizado. Si lo rojo que mencionas esta en la parte de rootkits, backdoors o cuentas, el sistema seguramente está comprometido. La buena práctica dicta que lo mejor es reinstalar.
Atte., Carlos Andrés Martínez
2015-09-30 13:31 GMT-05:00 Rhamyro Alcoser A. rhamyroal@gmail.com:
Estimado Carlos,
Ya logre instalar el rkhunter,
ejecute de la siguiente forma rkhunter -c en root y la verdad tengo
algunos
warning en rojo.
consulta la herramienta limpia o debo hacer almo mas de forma manual¡?
gracias por tu gran ayuda.
El 30 de septiembre de 2015, 12:52 p. m., Carlos Martinez<
camarti@gmail.com>
escribió:
Saludos.
No. Rkhunter no altera ningún archivo del sistema.
Atte., Carlos Andrés Martínez
2015-09-30 12:11 GMT-05:00 Rhamyro Alcoser A. rhamyroal@gmail.com:
No afecta en nada al resto del sistema como te comente es un sistema
en
producción?
gracias por el dato.
El 30 de septiembre de 2015, 11:55 a. m., Carlos Martinez<
camarti@gmail.com>
escribió:
Saludos.
Descartando problemas de disco, El comportamiento que mencionas puede ser producido por un rootkit. Este modifica binarios esenciales del sistema y crea puertas traseras. Para evitar que sea eliminado,
coloca
atributo de inmutable a los binarios alterados. Como es un sistema
que
has heredado, existe la mínima posibilidad de que el administrador anterior le haya colocado el atributo de inmutable a determinados archivos, con el fin de 'proteger' el sistema.
Para salir de la duda verifica el sistema con rkhunter (http://rkhunter.sourceforge.net/)
El proceso para ello es mas o menos el siguiente:
Descarga rkhunter de la URL indicada
Instala rkhunter (desde consola como root):
tar zxf rkhunter-<version>.tar.gz cd rkhunter-<version> ./installer.sh --install
Ejecuta rkhunter con el siguiente comando (desde consola como
root):
rkhunter --check
Hay que prestar especial atención a lo que sale de color rojo y a la sección de rookits.
No está de más desearte feliz cacería.
Atte., Carlos Andrés Martínez
2015-09-30 10:42 GMT-05:00 Rhamyro Alcoser A. rhamyroal@gmail.com:
Saludos Estimado Cesar,
por favor disculpa las molestias, antes q nada mi mundo es un poco
mas a
Windows y por razones de trabajo me toca tambien linux pero
principiante
con la ayuda de google.
me Alarmas con tus observaciones puede q así este y yo sin saber,
para el primer caso lo ejecute el comando y no encuentra ningún
error,
para
el segundo puedes explicarme un poco mas por favor o ahy alguna
herramienta
que pueda hacer esto.
es un servidor de correo.
gracias por tus comentarios
estos comandos del otro amigo:
ls inmutable dice que no encuentra y chattr -i /bin/ls me ejecuta pero en realidad no envía ningún
mensaje
todo lo estopy haciendo en modo super user o root
El 30 de septiembre de 2015, 10:08 a. m., Carlos Martinez<
camarti@gmail.com>
escribió:
> Cordial saludo. > > Eso en mi experiencia ocurre por dos razones: > > 1) Disco duro malo. > > 2) Sistema comprometido por un rootkit que ha reemplazado
binarios
> esenciales del sistema por otros alterados y les ha puesto un
atributo
de
> no modificar (immutable). > > El punto 1, se descarta/verifica con dmesg. > > El punto 2, se descarta/verifica entrando a cada directorio
(/bin,
/sbin,
> /usr/bin, /usr/sbin) y haciendo un lsattr. Se puede recuperar el
sistema
> pero lo mejor es reinstalar. > > Atte., > Carlos Andrés Martínez > > 2015-09-30 8:59 GMT-05:00 Rhamyro Alcoser A. <
rhamyroal@gmail.com>:
> > > Saludos estimados amigos, > > > > Por favor agradezco su gentil ayuda y opiniones del siguiente
caso,
estoy
> > queriendo actualizar el coreutils en un servidor en producción
CENTOS
> > 5.11 y me presenta el siguiente mensaje, según lo revisado me
indican que
> > debo actualizar coreutils por mejoras en el sistema. > > > > Gracias por sus comentarios o sugerencias. > > > > ---------- > > > > > > > > Now updating coreutils .. > > > > > > > > Instalando paquete(s) con el comando yum -y install
coreutils
..
> > > > > > > > Loaded plugins: fastestmirror > > > > Loading mirror speeds from cached hostfile > > > > * base: centos.ufms.br > > > > * extras: centos.ufms.br > > > > * updates: centos.ufms.br > > > > Setting up Install Process > > > > Resolving Dependencies > > > > --> Running transaction check > > > > ---> Package coreutils.i386 0:5.97-34.el5_8.1 set to be
updated
> > > > --> Finished Dependency Resolution > > > > > > > > Dependencies Resolved > > > > > > > > > > > > >
================================================================================
> > > > Package Arch Version > > Repository Size > > > > > > > > >
================================================================================
> > > > Updating: > > > > > > > > Transaction Summary > > > > > > > > >
================================================================================
> > > > Install 0 Package(s) > > > > Upgrade 1 Package(s) > > > > > > > > Total download size: 3.6 M > > > > Downloading Packages: > > > > Running rpm_check_debug > > > > Running Transaction Test > > > > Finished Transaction Test > > > > Transaction Test Succeeded > > > > Running Transaction > > > > Updating : > > coreutils
1/2Error
> unpacking > > rpm package coreutils-5.97-34.el5_8.1.i386 > > > > > > > > error: unpacking of archive failed on file /bin/ls: cpio:
rename
> > > > > > > > Failed: > > > > coreutils.i386 > > 0:5.97-34.el5_8.1 > > > > > > > > Complete! > > > > > > > > .. ¡falló la instalación! > > > > > > > > > > > > > > -- > > > > *Rhamyro Alcoser A.* > > > > *ITIL & Systems Development* > > > > *Mailto1:* rhamyroal@gmail.com > > > > *Mailto2:* rhamyroal@icloud.com rhamyroal@gmail.com > > > > *Skype: *rhamyroal@outlook.com ramiro861@hotmail.com > > > > *Quito - Ecuador * > > > > > > *¿Qué, pues, diremos a esto? Si Dios es por nosotros, ¿quién
contra
> > nosotros?, Rm 8:31* > > _______________________________________________ > > CentOS-es mailing list > > CentOS-es@centos.org > > https://lists.centos.org/mailman/listinfo/centos-es > > > _______________________________________________ > CentOS-es mailing list > CentOS-es@centos.org > https://lists.centos.org/mailman/listinfo/centos-es >
--
*Rhamyro Alcoser A.*
*ITIL & Systems Development*
*Mailto1:* rhamyroal@gmail.com
*Mailto2:* rhamyroal@icloud.com rhamyroal@gmail.com
*Skype: *rhamyroal@outlook.com ramiro861@hotmail.com
*Quito - Ecuador *
*¿Qué, pues, diremos a esto? Si Dios es por nosotros, ¿quién contra nosotros?, Rm 8:31* _______________________________________________ CentOS-es mailing list CentOS-es@centos.org https://lists.centos.org/mailman/listinfo/centos-es
CentOS-es mailing list CentOS-es@centos.org https://lists.centos.org/mailman/listinfo/centos-es
--
*Rhamyro Alcoser A.*
*ITIL & Systems Development*
*Mailto1:* rhamyroal@gmail.com
*Mailto2:* rhamyroal@icloud.com rhamyroal@gmail.com
*Skype: *rhamyroal@outlook.com ramiro861@hotmail.com
*Quito - Ecuador *
*¿Qué, pues, diremos a esto? Si Dios es por nosotros, ¿quién contra nosotros?, Rm 8:31* _______________________________________________ CentOS-es mailing list CentOS-es@centos.org https://lists.centos.org/mailman/listinfo/centos-es
CentOS-es mailing list CentOS-es@centos.org https://lists.centos.org/mailman/listinfo/centos-es
--
*Rhamyro Alcoser A.*
*ITIL & Systems Development*
*Mailto1:* rhamyroal@gmail.com
*Mailto2:* rhamyroal@icloud.com rhamyroal@gmail.com
*Skype: *rhamyroal@outlook.com ramiro861@hotmail.com
*Quito - Ecuador *
*¿Qué, pues, diremos a esto? Si Dios es por nosotros, ¿quién contra nosotros?, Rm 8:31* _______________________________________________ CentOS-es mailing list CentOS-es@centos.org https://lists.centos.org/mailman/listinfo/centos-es
CentOS-es mailing list CentOS-es@centos.org https://lists.centos.org/mailman/listinfo/centos-es