rootkit
Hola, estaba leyendo un articulo en el blog desde linux y decidi bajar Chkrootkit y correrlo en la PC para mi sorpresa me dio un archivo infectado y otro sospechoso porque envia datos a otra carpeta. uno esta en el homo y otro sbin/init y no se si borrarlo, no se si el archivo pueda dañar al SO. adjunto capturas
Attachment | Size |
---|---|
INFECTADO Screenshot - 110416 - 22:31:06.png | 171.31 KB |
Rootckit Screenshot - 110416 - 15:47:17.png | 183.34 KB |
Rootkit 2 Screenshot - 120416 - 19:18:09.png | 270.01 KB |
Algo mejor es un falso positivo, yo use el rootkit en un sistema recien instalado debian y me daba algunos que eran falsos positivos, aver que dicen los demas, sds.
Puede ver lo que dice rkhunter..?
sudo apt-get install rkhunter
sudo rkhunter --update
sudo rkhunter -c
Voy a probar SuperTramp83, también me aconsejaron hacer 2 archivos vacíos con terminación .mem y otro con .xrt, luego que use el comando ls si no aparecen listados la PC esta imfectada, les comentó mas tarde que paso, con la opción de SuperTramp y la de ls
Bueno al hacer la comprobacion que me dijeron en otro grupo no aparecen los archivos por lo tanto la PC estaria infectada, y al hacer la comprobacion de SuperTramp resulto lo siguiete, algunas capturas no todas es muy largo. Pero ya estoy preocupado...
Yo lo lancé hace años, "rkhunter" y "chkrootkit", también me emparanoié y busqué información. Generalmente se cuenta que hay muchos falsos positivos, creo recordar. Me pareció muy complejo y abandoné. Supongo que la mejor técnica que entiendo es desde una instalación en limpio con un sistema 100 % libre:
Tratar de protegerse de infecciones con extensiones de seguridad en el navegador, las que considero mejores (puede ralentizar la velocidad del navegador dependiendo de tu hardware): Noscript, ublock origin, random agent spoofer privacy settings, self-destructing cookies, https everywhere y descentraleyes, la de printpdf a la que tengo buen afecto aún en contra de que no se actualiza desde 2010, no me funciona con el último firefox (iceweasel)
- Desactivar o eliminar servicios que no uses en el sistema
$ service --status-all (creo que ahí puedes verlos), además de revisar los paquetes instalados con herramientas como "synaptic" para dejarlo a tu gusto (cuidado con las dependencias, puedes borrar cosas)
- Por ejemplo, no estaría mal usar dnscrypt, con servidores como dnscrypt.eu u otros que al menos expresen que no guardan logs, para que las peticiones DNS que hagas, al no disponer de servidor local, al menos no se constituyan en otro nido de spyware
- Si puedes hacer uso de máquinas virtuales mejor (tu máquina debe disponer de recursos o sino adaptarte a ellos a la hora de virtualizar). Interfaces gráficas libres: Virt-manager y gnome-boxes, muy sencillita esta última, además que con el tiempo he ido aprendiendo a convivir con Virt-manager, después de abandonar virtualbox
- Lo del sandbox de firejail lo veo muy bien, en otros post recientes hay información al respecto, una gran protección bastante sencilla con muchas opciones, al menos para gente como yo que poco entiende.
-Cerrar puertos que no uses y activar por supuesto el firewall, ufw es muy sencillo
$ sudo apt install ufw
Aquí lo mismo te puede servir una idea de como configurarlo según tus necesidades:
http://ubuntuforums.org/showthread.php?t=1893751
- Mantener actualizado tu sistema, ahora que estoy usando Parabola GNU no lo uso, pero antes usaba un script para despreocuparme, aunque mirar los logs se me hacía irresistible jeje
http://fraterneo.blogspot.com.es/2011/01/actualizar-ubuntu-automaticamente-con.html
http://blog.desdelinux.net/cron-crontab-explicados/
- Tratar de no usar binarios que no vengan de los repositorios oficiales a nivel de sistema, ya que sería excederse más aún de la cadena de confianza que se establece con los binarios de los repos oficiales. Para ello está el código y si puede ser, compilar a instalar este código a nivel de usuario.
- Y supongo que es más seguro usar a nivel de sistema poquito software (el que uses) ya que habría menos posibilidades de vulnerabilidad.
- Y lo último, que a ver quien lo consigue: auditar y compilar toodo el software que tengas instalado
- Y lo que nos daría seguridad a todos, sin siquiera todos los pasos anteriores, que el mundo fuera diferente aka no se encontrasen motivos con tanta facilidad para atacarnos unos a otros.
"La seguridad sólo trata de resolver consecuencias. La mayor seguridad que existe es la ignorancia, y la mayor libertad la paz y la serenidad"
Hablando de seguridad, hace poco probé QubeOS, me parece un sistema bastante bueno en seguridad y las posibilidades que luego el usuario puede realizar a su voluntad. Contras: no está enfocado para lanzar juegos lo que podría sobrevivir, y lo que me hizo abandonar, software privativo en el sistema standard, se me ocurrió desde la iso borrar ese software para correrlo 100 %libre pero se me hizo demasiado difícil y abandoné. Pero la idea me parece excelente, es manejar y diseñar a tu gusto sistemas como si se tratasen de ventanas, claro que para máquinas con recursos, además de tener resguardado y enfocado al sistema madre (dom0) offline y que apenas lo toques lo que incrementa la seguridad. Según leí, por si alguien podría aquí informarme algo más, los procesadores x86 necesitan hacer uso de software privativo para correr, corras el sistema que corras, es cierto?
por si a alguien le interesa: https://groups.google.com/forum/?_escaped_fragment_=msg/qubes-users/DtzBp2El7AU/EzHencbYBwAJ#!msg/qubes-users/DtzBp2El7AU/EzHencbYBwAJ
En el grupo de Identi.ca me han respondido lo mismo, "seguro que si utilizas un sistema recien instalado y te van a saltar falsos positivos." Uso desde hace años, https everywhere, self destructed cookies, non script, ublock, probare tus recomendaciones, gracias por tu respuesta y los links que le has adjuntado.
Gracias por las aportaciones y como siempre a probar otros sistemas operativos, voy por QubeOS :)