Mi hanno rootkitato ?
Inviato: mar 23 gen 2007, 16:46
Ultimamente sto usando poco slackware, comunque ieri sera ho notato che nella root c'era una directory "slack" che conteneva tre sottodirectory: bin, sbin e var.
In queste directory c'erano programmi come chmod, ls, chattr, fdisk ecc...Alcuni dei quali erano dei link simbolici ai "veri" files.
Ho subito elminato la directory in questione e fatto una scansione con rkhunter, anche se secondo me questi programmi non servono a nulla...Ma non si sa mai...In ogni caso dice che è tutto ok ad eccezione di tre files: /etc/.java (directory vuota) , /etc/.password (vuoto pure questo) ed /dev/.non ricordo che ho eliminato subito subito. Ho riavviato e il sistema funzionava correttamente.
Io sono convinto che si tratta di un rootkit che qualche lamerone ha inserito in qualche tgz, per questo volevo sapere se c'è un modo per ordinare cronologicamente in /var/log/packages i pacchetti stessi.
Secondo voi mi sono beccato un rootkit ?
Escuderei che l'eventuale attacker mi abbia exploitato perchè ho tutte le porte chiuse, non uso alcun tipo di servizio che metta in ascolto una porta, nè ssh, nè telnet, nè nulla...
Il firewall del router blocca tutto il traffico in entrata, ad eccezione del p2p. Idem per iptables.
In queste directory c'erano programmi come chmod, ls, chattr, fdisk ecc...Alcuni dei quali erano dei link simbolici ai "veri" files.
Ho subito elminato la directory in questione e fatto una scansione con rkhunter, anche se secondo me questi programmi non servono a nulla...Ma non si sa mai...In ogni caso dice che è tutto ok ad eccezione di tre files: /etc/.java (directory vuota) , /etc/.password (vuoto pure questo) ed /dev/.non ricordo che ho eliminato subito subito. Ho riavviato e il sistema funzionava correttamente.
Io sono convinto che si tratta di un rootkit che qualche lamerone ha inserito in qualche tgz, per questo volevo sapere se c'è un modo per ordinare cronologicamente in /var/log/packages i pacchetti stessi.
Secondo voi mi sono beccato un rootkit ?
Escuderei che l'eventuale attacker mi abbia exploitato perchè ho tutte le porte chiuse, non uso alcun tipo di servizio che metta in ascolto una porta, nè ssh, nè telnet, nè nulla...
Il firewall del router blocca tutto il traffico in entrata, ad eccezione del p2p. Idem per iptables.