Mensajes

ajajjjaja yo he contribuido bajando los automáticos de la casa..xD 

Entiendo, Jenag, y gracias por comentarlo, ya que me considero un poco mayor para la Pokemon (y me refiero concretamente por la franquicia -dibujos y demas jugetes que han creado, por lo cual no tengo interes).
Dicho sea de paso, no te preocupes por el mensaje, no pasa nada.
Muchas gracias por vuestra atencion.
Saludos.

Crazykenny hola , lo decia de buen rollo , mira a mí con 23 me gusta jugar a los sims 3 y esperando a los sims 4 con ansia viva..xD 

Derden32 hola , tomate una aspirina eso me funciona..

Derden32 HOLA , toma mas fibra en tus comidas..

Pd : 2 pastillas al medio dia 5 minutos antes de comer , de fave de fuca.

Alguién se siente ofendido...

Kami hola , yo si estoy ofendida tiene una espada..

jugando y/o mirando juegos y/o demas cosas de Pokemon a mis 28 años

Crazykenny hola , yo pienso que esa es una muy buena edad para jugar y aunque tuvieras 70 , 80 o 90 años seguiria pensando lo mismo.Perdón por desviarme del hilo saludos Crazykenny.

hola Jenag, lo más práctico para mí a la hora de gestionar los procesos medianamente "normales" es el comando

Código [Seleccionar] Expandir


top

(o sus derivados, atop htop etc, estos últimos deben instalarse desde el apt)

puedes tirar uno general, o bien ver los parámetros para aislarlo entre usuarios (-u) pid (-p) etc.
el mismo en la última columna te especifica el comando que se está ejecutando.

mientras abro otra terminal y con ps detallo más info del pid sospechoso:

Código [Seleccionar] Expandir


ps (pid)

ahí detalla la ruta en donde se encuentra el nefasto script, jej, luego con

Código [Seleccionar] Expandir


kill -9 pid (con -1 reinicia) o killall comando_indicado_en_top, lo matas

puedes también usar salidas de netstat, el mismo te arroja el pid que está utilizando el puerto.

ahora bien... ya debes haber hecho lo anterior y no diste con el lkm.. al ser muy malévolo el adore/rookit que tienes en la canastita, el mismo puede ser transparente a ps y a todos sus parámetros, solo queda utilizar la herramienta unhide (lo ideal compilarla a mano de manera estática, pero bien puedes instalarla con apt-get install unhide)

tiene muchisimos parámetros, los más usuales son sys

Código [Seleccionar] Expandir


./unhide sys

(pemite detectar procesos ocultos y su ubicacion) y

Código [Seleccionar] Expandir


./unhide proc, (o procall)

(muy interesante, permite ver a que herramientas es transparente el bichito)
muestra tanto resultados en terminal como volcado en var/logs.
saludos

(agrego) perdón! el log lo tira en el mismo root cuando lo ejecutas... debe ser el único jaja XD

Gh057 gracias , dame tiempo para asimilarlo y haber que puedo hacer , ahora no estoy con el otro pc infectado..xD

Es que me pregunté que pasaria si no utilizo tripwire en el s.o en cuestión pero bueno ahora que me has pasado tus ideas a la cestita tendré que ponerlo en práctica..

Para no desviar el hilo adjunto un poco de info sobre el honeypot :

El mejor honeypot es poner un servidor en producción , aunque sea algo pequeño y empezar a analizar logs , con eso sí que se aprende..
Uno por el que se puede empezar seria :

http://project.forat.info/project-2010-servidor-web-bajo-linux-ubuntu-server/

http://www.forat.info/2008/03/05/como-montar-un-servidor-web-con-linux-debian/

Y no estaría mal para probar y andar trasteando DVL..

http://www.aegis.pe/2013/12/damn-vulnerable-linux.html

Y virtualizar kali desde virtualbox seria una opción muy buena , como aprender seguridad y optimizacion en servidores gnu linux.
Aunque personalmente me gusta mas los servidores basados en debian.xD  

Me interesa mucho este tema desde un tiempo pero por falta de hardware no puedo., hay bastante para leer.. pero yo preferiria utilizar herramientas ya desarrolladas..

No creo que por falta de hardware no puedas..¿Qué te falta de hardware para ti?..Si no te molesta que te lo pregunte.

http://www.honeynet.org/project

Incluso podes crear diagramas con colores, herramientas que usan los atacantes, malware, logs, etc.

Efex hola , gracias por la info..

Estoy abierta a mas sugerencias y al problema que puse arriba.Sld2s..

muy creativa! jajaja ibas como caperucita en un bosque de noche y lleno de lobos  

Gh057 hola si iba con mi cestita y con mucho miedo..

tan solo una observación si tiras tanto chkrookit como rkhunter, tienes 2 o 3 falsos positivos desde el inicio; no los detecta como infecciones pero si como warning; por ejemplo, enlaces del kernel, etc:

-> http://www.chkrootkit.org/faq/
-> http://rkhunter.cvs.sourceforge.net/viewvc/rkhunter/rkhunter/files/FAQ

Si suele pasar pero en los archivos que comento son muy reales y no son falsos positivo pero gracias de todos modos por la info xD.

luego todo lo demás serían bichitos  

Si muchos bichitos he recolectado en mi cestita..

Pd : Para intentar seguir en el hilo del honeypot casero , hay un problema que me desconcierta me tiene muy cabreada y es que con chkrootkit he encontrado un proceso lkm corriendo en el s.o y todo apunta a que es un troyano , ahora mismo no tengo la otra pc usada como honeypot pero mis dudas son :
¿Qué métodos puedo probar para dar con el proceso y así poder aislar el troyano?
me puse tripwire para tener el s.o controlado pero por ciertas cuestiones lo quite y ahora no se DONDE puede estar con malware..Sé que me queda este proceso lkm pero no sé como abordarlo..¿Teneís alguna idea de lo que podria hacer?.

cool ahora tienes un montón de juguetitos para desarmar y ver que hacían! XD la forencia de datos en cool, no soy muy dado a eso (no se me da mucho la ing inversa) pero me gustaría eventualmente ponerme a eso ya se como empezar!

Engelx me gusta que te guste.xD.