Re: Pregunta poco frecuente sobre apt-get y dkpg

Wed, 08 Oct 2003 04:31:52 -0500 

El Wed, 08 Oct 2003 11:06:03 +0200
"Rafael F." Rodríguez <[EMAIL PROTECTED]> escribió:

> Hola ;-) .
> 
>       Si claro, lo que intento es encontrar algún posible mecanismo
>       por el
> cual pueda reinstalar todos los paquetes en el caso de ser pacheados
> por algún rootkit o troyano.
> 
>       Los rootkit se encargan en sustituir los comandos más comunes,
>       tales
> como ls, su, sudo, etc.... , en tal caso si reinstalo todos los
> paquetes de una sentada estos comando son re-sustituidos y por lo
> tango el rootkit desaparecerá.
> 
>       No sé si puede ser la solución definitiva pero hasta ahora me
>       está
> funcionando, eso sí, teclando el apt-get install --reinstall a mano
> por cada uno de los paquetes :-( .
> 
> 

Hola:
        <comentario de humor negro>Estas combatiendo el hambre y la pobreza,
matando a los pobres y alimentando con éstos a los
hambrientos</comentario de humor negro>

        Luego de una reinstalación, deberías sacar un snapshot de la
integridad de los archivos recién instalados con algún programa (creo
que había uno así en Woody) y comparar cada cierto tiempo.

        Y lo más importante, intentar ver como entro el rootkit en tu
máquina, y si es por algún usuario, tratar de darle los menos recursos
posibles (o rechazarlo e intentar tener acceso físico a esta persona
para .......). Fíjate si con el comando strace notas algo distinto a
lo normal, y tratar de tomar todas las medidas "paranóicas" que puedas
(desde descartar los icmp, hasta capar el ssh para que solo te
responda a tu IP).

        Piensa que si tienes rootkits muy a menudo en tu sistema, hay algo
que está fallando "alevosamente" y por más reinstalaciones que hagas,
siempre caerás en la misma situación. Si yo estuviese en tu lugar, y
no tengo ningún servicio exclusivo para linux, intentaría cambiarme
hacia otro OS (BeOS, FreeBSD, OpenBSD, NetBSD, etc) para dificultarle
un poco las cosas al atacante e intentar ver si el tipo de ataque es
exclusivo para Linux o para algún servicio en especial.









-- 
Atentamente, yo <Matías>
Nunca hay libertad en una invasión
http://nnss.d7.be
http://savannah.gnu.org/projects/tasklist
Con $ 1786 $ spams desde el 2003-09-22 12:00:00 GMT 000

Responder a