¿me habran juankeado?

aztunmaka 22 abril 2005 01:44

⋮

hola, antes de nada perdon por repetir este post en el foro de linux y en este, pero no estaba seguro en cual encajaria mejor.

hoy haciendo la revision habitual a uno de mis server pa asegurarme q no habia ninguna actualizacion de seguridad q no hubiese instalado se me ha ocurrido pasar el chkrootkit (utilidad para encontrar rootkits en tu maquina) y me he llevado un pequeño susto

[root@lepetika chkrootkit-0.45]# ./chkrootkit -x lkm
ROOTDIR is `/'
###
### Output of: ./chkproc -v -v -p 1
###
PID 5241(/proc/5241): not in readdir output
PID 5241: not in ps output
CWD 5241: /var/lib/mysql
EXE 5241: /usr/sbin/mysqld
PID 5242(/proc/5242): not in readdir output
PID 5242: not in ps output
CWD 5242: /var/lib/mysql
EXE 5242: /usr/sbin/mysqld
PID 5243(/proc/5243): not in readdir output
PID 5243: not in ps output
CWD 5243: /var/lib/mysql
EXE 5243: /usr/sbin/mysqld
PID 5244(/proc/5244): not in readdir output
PID 5244: not in ps output
CWD 5244: /var/lib/mysql
EXE 5244: /usr/sbin/mysqld
PID 5245(/proc/5245): not in readdir output
PID 5245: not in ps output
CWD 5245: /var/lib/mysql
EXE 5245: /usr/sbin/mysqld
PID 5246(/proc/5246): not in readdir output
PID 5246: not in ps output
CWD 5246: /var/lib/mysql
EXE 5246: /usr/sbin/mysqld
PID 5247(/proc/5247): not in readdir output
PID 5247: not in ps output
CWD 5247: /var/lib/mysql
EXE 5247: /usr/sbin/mysqld
PID 5248(/proc/524: not in readdir output
PID 5248: not in ps output
CWD 5248: /var/lib/mysql
EXE 5248: /usr/sbin/mysqld
You have 8 process hidden for readdir command
You have 8 process hidden for ps command
[root@lepetika chkrootkit-0.45]#

investigando un poco por google he leido que a veces el chkrootkit da falsos positivos y probando probando he descubierto q si paro los procesos del apache y mysqld el chkrootkit deja de quejarse, vamos q no encuentra ningun proceso oculto:

[root@lepetika chkrootkit-0.45]# /etc/init.d/httpd stop
Shutting down httpd2: [ OK ]
[root@lepetika chkrootkit-0.45]# /etc/init.d/mysql stop
Deteniendo servidor MySQL
(pid 5240) [ OK ]
[root@lepetika chkrootkit-0.45]# ./chkrootkit -x lkm
ROOTDIR is `/'
###
### Output of: ./chkproc -v -v -p 1
###
[root@lepetika chkrootkit-0.45]#

¿¿sabeis si existe algun rootkit que pueda estar "asociado", por decirlo de alguna manera, a los procesos del apache o el mysql y por eso cuando los arranco el chkrootkit detecta algo raro?? ¿¿o alguien puede darme una explicacion logica de por qué el chkrootkit da esos falsos positivos (ojala xDD) y asi pueda dormir mas tranquilo??

un saludo y gracias de antemano