Banda Ancha EU

Comunidad de usuarios
de fibra, móvil y ADSL

hosting en interdominios
122 lecturas y 0 respuestas
  • Cerrado

    ¿me habran juankeado?

    hola, antes de nada perdon por repetir este post en el foro de linux y en este, pero no estaba seguro en cual encajaria mejor.

    hoy haciendo la revision habitual a uno de mis server pa asegurarme q no habia ninguna actualizacion de seguridad q no hubiese instalado se me ha ocurrido pasar el chkrootkit (utilidad para encontrar rootkits en tu maquina) y me he llevado un pequeño susto

    [root@lepetika chkrootkit-0.45]# ./chkrootkit -x lkm
    ROOTDIR is `/'
    ###
    ### Output of: ./chkproc -v -v -p 1
    ###
    PID 5241(/proc/5241): not in readdir output
    PID 5241: not in ps output
    CWD 5241: /var/lib/mysql
    EXE 5241: /usr/sbin/mysqld
    PID 5242(/proc/5242): not in readdir output
    PID 5242: not in ps output
    CWD 5242: /var/lib/mysql
    EXE 5242: /usr/sbin/mysqld
    PID 5243(/proc/5243): not in readdir output
    PID 5243: not in ps output
    CWD 5243: /var/lib/mysql
    EXE 5243: /usr/sbin/mysqld
    PID 5244(/proc/5244): not in readdir output
    PID 5244: not in ps output
    CWD 5244: /var/lib/mysql
    EXE 5244: /usr/sbin/mysqld
    PID 5245(/proc/5245): not in readdir output
    PID 5245: not in ps output
    CWD 5245: /var/lib/mysql
    EXE 5245: /usr/sbin/mysqld
    PID 5246(/proc/5246): not in readdir output
    PID 5246: not in ps output
    CWD 5246: /var/lib/mysql
    EXE 5246: /usr/sbin/mysqld
    PID 5247(/proc/5247): not in readdir output
    PID 5247: not in ps output
    CWD 5247: /var/lib/mysql
    EXE 5247: /usr/sbin/mysqld
    PID 5248(/proc/524: not in readdir output
    PID 5248: not in ps output
    CWD 5248: /var/lib/mysql
    EXE 5248: /usr/sbin/mysqld
    You have 8 process hidden for readdir command
    You have 8 process hidden for ps command
    [root@lepetika chkrootkit-0.45]#

    investigando un poco por google he leido que a veces el chkrootkit da falsos positivos y probando probando he descubierto q si paro los procesos del apache y mysqld el chkrootkit deja de quejarse, vamos q no encuentra ningun proceso oculto:

    [root@lepetika chkrootkit-0.45]# /etc/init.d/httpd stop
    Shutting down httpd2: [ OK ]
    [root@lepetika chkrootkit-0.45]# /etc/init.d/mysql stop
    Deteniendo servidor MySQL
    (pid 5240) [ OK ]
    [root@lepetika chkrootkit-0.45]# ./chkrootkit -x lkm
    ROOTDIR is `/'
    ###
    ### Output of: ./chkproc -v -v -p 1
    ###
    [root@lepetika chkrootkit-0.45]#

    ¿¿sabeis si existe algun rootkit que pueda estar "asociado", por decirlo de alguna manera, a los procesos del apache o el mysql y por eso cuando los arranco el chkrootkit detecta algo raro?? ¿¿o alguien puede darme una explicacion logica de por qué el chkrootkit da esos falsos positivos (ojala xDD) y asi pueda dormir mas tranquilo??

    un saludo y gracias de antemano

    Este tema es antiguo y puede contener información obsoleta. Abre un nuevo tema para publicar tu mensaje.