[U-co] Virus y rootkits en Ubuntu ¿es posible? *** HackLab # 7 Bogotá ***
Andres Mujica
amujicaz en gmail.com
Jue Nov 13 02:43:39 UTC 2008
>
>
> [18:06:57] Checking if SSH root access is allowed [ Warning ]
>
[18:06:57] Warning: The SSH and rkhunter configuration options should be the
> same:
> [18:06:57] SSH configuration option 'PermitRootLogin': yes
> [18:06:57] Rkhunter configuration option 'ALLOW_SSH_ROOT_USER': no
en /etc/ssh/sshd_config la linea
PermitRootLogin yes
la cambia por
PermitRootLogin no
esto impide k root logee en su sistema via ssh. como es Ubuntu no aplica por
lo que root viene deshabilitado y debería mantenerse deshabilitado por
defecto. Aplica mas para servidores
>
> [18:06:57] Checking if SSH protocol v1 is allowed [ Not allowed
> ]
> [18:06:57] Checking for running syslog daemon [ Found ]
> [18:06:57] Checking for syslog configuration file [ Found ]
> [18:06:57] Info: Found syslog configuration file: /etc/syslog.conf
> [18:06:57] Checking if syslog remote logging is allowed [ Not allowed
> ]
> [18:06:57]
> [18:06:57] Performing filesystem checks
> [18:06:57] Info: Starting test name 'filesystem'
> [18:06:57] Info: SCAN_MODE_DEV set to 'THOROUGH'
> [18:07:11] Checking /dev for suspicious file types [ Warning ]
> [18:07:11] Warning: Suspicious file types found in /dev:
> [18:07:11] /dev/shm/pulse-shm-1810859254: data
> [18:07:11] /dev/shm/pulse-shm-4174555502: data
falsos positivos (nada que ver con la triste realidad)
>
> [18:07:12] Checking for hidden files and directories [ Warning ]
> [18:07:12] Warning: Hidden directory found: /etc/.java
> [18:07:12] Warning: Hidden directory found: /dev/.static
> [18:07:12] Warning: Hidden directory found: /dev/.udev
> [18:07:12] Warning: Hidden directory found: /dev/.initramfs
> [18:07:19]
falsos positivos
>
> [18:07:19] Checking application versions...
> [18:07:19] Info: Starting test name 'apps'
> [18:07:21] Info: Application 'exim' not found.
> [18:07:21] Checking version of GnuPG [ OK ]
> [18:07:21] Info: Application 'gpg' version '1.4.6' found.
> [18:07:21] Info: Application 'httpd' not found.
> [18:07:22] Info: Application 'named' not found.
> [18:07:22] Checking version of OpenSSL [ OK ]
> [18:07:22] Info: Application 'openssl' version '0.9.8g' found.
> [18:07:22] Checking version of PHP [ OK ]
> [18:07:22] Info: Application 'php' version 'Warning:' found.
> [18:07:22] Checking version of Warning: [ OK ]
> [18:07:22] Info: Application 'Warning:' version 'Warning:' found.
> [18:07:22] Checking version of Warning: [ OK ]
> [18:07:22] Info: Application 'Warning:' version 'Warning:' found.
> [18:07:22] Checking version of Warning: [ OK ]
> [18:07:22] Info: Application 'Warning:' version 'Warning:' found.
> [18:07:22] Checking version of Warning: [ OK ]
> [18:07:22] Info: Application 'Warning:' version 'Warning:' found.
> [18:07:22] Checking version of Warning: [ OK ]
> [18:07:22] Info: Application 'Warning:' version 'Warning:' found.
errores de parsing (el rkhunter esta algo abandonado lastimosamente)
>
> [18:07:22] Checking version of 0 [ Skipped ]
> [18:07:22] Info: Unable to obtain version number for '5.2.4'.
> [18:07:22] Info: Application 'procmail' not found.
> [18:07:22] Info: Application 'proftpd' not found.
> [18:07:22] Checking version of OpenSSH [ OK ]
> [18:07:22] Info: Application 'sshd' version '4.7p1' found.
> [18:07:22] Info: Applications checked: 4 out of 9
>
> ¿qué hago ahí?, ¿hay alguna situación peligrosa?
>
nop.
ninguna.
>
> Agradezco cualquier guía.
>
> Luis Jaime Salazar Ramírez
> Linux user #480813
> Ubuntu user #24901
>
>
>
> ----- Mensaje original ----
> De: Kant <kantrain en gmail.com>
> Para: Ubuntu Colombia <ubuntu-co en lists.ubuntu.com>
> Enviado: miércoles, 12 de noviembre, 2008 15:27:34
> Asunto: Re: [U-co] Virus y rootkits en Ubuntu ¿es posible? *** HackLab # 7
> Bogotá ***
>
> Bueno, no me habia quedado tiempo para escribir, como nos fue en 1969
> (la pizzeria) en el hacklab, de todo esto les puedo dejar un texto
> interesante con las conclusiones.
>
> Virus en GNU/Linux
>
> Investigando un poco hemos de encontrar que si bien existe un antivirus
> para Linux, este mas que todo esta relacionado es con los virus de
> Windows que pueden entrar al sistema por medio de programas emuladores
> de Windows como Wine, Cedega o Crossover
>
> Pero esto no es del todo cierto, existen mas que virus, Rootkits que
> afectan tu sistema y que son nativos de GNU/Linux, básicamente de los
> que hablamos son de los siguientes
>
> lrk3, lrk4, lrk5, lrk6 (and variants) * Solaris rootkit * FreeBSD rootkit *
> t0rn (and variants) * Ambient's Rootkit (ARK) * Ramen Worm * rh[67]-shaper *
> RSHA * Romanian rootkit * RK17 * Lion Worm * Adore Worm * LPD Worm *
> kenny-rk * Adore LKM * ShitC Worm * Omega Worm * Wormkit Worm * Maniac-RK *
> dsc-rootkit * Ducoci rootkit * x.c Worm * RST.b trojan * duarawkz * knark
> LKM * Monkit * Hidrootkit * Bobkit * Pizdakit * t0rn v8.0 * Showtee *
> Optickit * T.R.K * MithRa's Rootkit * George * SucKIT * Scalper * Slapper A,
> B, C and D * OpenBSD rk v1 * Illogic rootkit * SK rootkit * sebek LKM *
> Romanian rootkit * LOC rootkit * shv4 rootkit * Aquatica rootkit * ZK
> rootkit * 55808.A Worm * TC2 Worm * Volc rootkit * Gold2 rootkit * Anonoying
> rootkit * Shkit rootkit * AjaKit rootkit * zaRwT rootkit * Madalin rootkit *
> Fu rootkit * Kenga3 rootkit * ESRK rootkit * rootedoor rootkit * Enye LKM *
> Lupper.Worm * shv5
>
> Y esta es una buena manera de darnos cuenta si estan activos en nuestro
> querido Ubuntu:
>
> - Puedes usar dos programas llamados Chkrootkit y Rootkit Hunter.
>
> Para instalarlos:
>
> sudo apt-get install chkrootkit rkhunter
>
> Una vez instalados vamos a empezar con el Rootkit Hunter. Lo primero es
> actualizarlo a la última versión:
>
> sudo rkhunter --update
>
> Después de actualizados podemos empezar con el test:
>
> sudo rkhunter --checkall
>
> Nos presentará un completo informe con el resultado de los análisis y
> probablemente hará alguna sugerencia.
>
> Después podemos probar con el chkrootkit:
>
> sudo chkrootkit
>
> Aún así no es seguro que estemos 100% libres de troyanos, rootkits y
> demás basura pero por lo menos nos dejará una cierta tranquilidad.
>
> Sin embargo en *GNU/Linux
> <
> http://ubuntu.teoriza.net/introduccion-a-ubuntu-explicacion-basica-de-que-es-ubuntu-y-gnulinux.php
> >*
> no es necesario ya que estamos ante un *sistema seguro por defecto*,
> donde apenas si existen virus, todos ellos son pruebas de concepto más
> que otra cosa y requieren de la intervención del usuario para poder
> hacer algo.
>
> En *Ubuntu* al igual que en cualquier /GNU/Linux/ y sistemas basados en
> Unix los archivos no son ejecutables porque tengan una extensión que así
> lo indique.
>
> En *Windows
> <
> http://ocio.teoriza.com/2007/05/24/finalmente-habra-un-service-pack-3-para-windows-xp.html
> >*
> el sistema intentará ejecutar cualquier archivo que termine el *.exe*
> sin preguntar nada más. Por el contrario en /GNU/Linux/ para poder
> ejecutar un archivo este aparte de ser un ejecutable propiamente dicho
> ha de tener permisos de ejecución.
>
> Estos permisos determinan que usuarios pueden hacer cosas y que cosas
> pueden hacer con el archivo en cuestión. Tenemos tres clases de
> permisos: *de lectura, de escritura y de ejecución*, tanto para archivos
> como para directorios.
>
> Por defecto un archivo descargado *de Internet no tiene permisos de
> ejecución*, lo que hace necesaria la intervención del usuario para poder
> ejecutarse.
>
> Por otra parte, los directorios y recursos importantes y fundamentales
> del sistema solo pueden ser accedidos de forma total por el
> /administrador/ del sistema.
>
> Los permisos de un archivo o carpeta puede modificarse desde las
> propiedades del mismo, accedemos a través del menú que aparece al pulsar
> el botón derecho del ratón apuntando al propio archivo. Para poder
> cambiar los permisos de algo tenemos que tener permiso para hacerlo.
>
> Antivirus para /GNU/Linux/ propiamente dicho no existen, existen
> programas para /GNU/Linux/ que nos permiten escanear particiones y
> discos en busca de virus para *Windows*. Algo muy útil si tenemos que
> arreglar un sistema infectado o para reforzar la seguridad de una red.
>
> Por ejemplo, los antivirus *Avast* y *Clam
> <
> http://seguridad.teoriza.es/clamwin-antivirus-totalmente-libre-y-gratuito-para-microsoft-windows-98me2000xp2003-consume-pocos-recursos.php
> >*
> tienen versiones para *GNU/Linux *totalmente gratuitas.
>
> Como nota final, la Pizza estuvo deliciosa, lastima que no fue mucha
> gente, por razones diversas, sin embargo, estan totalmente invitados
> este sabado a una capacitacion sobre Tecnologias Libres dictada por
> Opentechnical, entrada Libre En el café internet BIG MIND en la Calle 40
> no. 77a-05 Sur (Barrio kennedy) este sabado 15 de Noviembre, la idea es
> formar tecnicos especializados en ensamble y mantenimiento de Equipos
> con tecnologias Libres, el primer curso es este sabado, no se lo pueden
> perder, favor confirmar asistencia al correo opentechnical en gmail.com
> solo 30 Cupos disponibles, recuerden que es gratuito y al final del
> curso tendran su respectivo certificado de asistencia. y como dice raul
> gasca "y despues no digas que no te avisamos"
>
>
> --
> Lista de discusión Ubuntu-co
> http://www.ubuntu-co.com
>
> Para modificar su inscripción, vaya a "Cambio de opciones" en:
> https://lists.ubuntu.com/mailman/listinfo/ubuntu-co
>
> Al escribir mensajes por favor observe el Código de Conducta Ubuntu:
> http://doc.ubuntu-es.org/C%C3%B3digo_de_Conducta
>
>
>
>
> ____________________________________________________________________________________
> Premios MTV 2008¡En exclusiva! Fotos, nominados, videos, y mucho más! Mira
> aquí http://mtvla.yahoo.com/
>
> --
> Lista de discusión Ubuntu-co
> http://www.ubuntu-co.com
>
> Para modificar su inscripción, vaya a "Cambio de opciones" en:
> https://lists.ubuntu.com/mailman/listinfo/ubuntu-co
>
> Al escribir mensajes por favor observe el Código de Conducta Ubuntu:
> http://doc.ubuntu-es.org/C%C3%B3digo_de_Conducta
>
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: https://lists.ubuntu.com/archives/ubuntu-co/attachments/20081112/0a0df2ca/attachment.htm
Más información sobre la lista de distribución Ubuntu-co