Conheça a nossa empresaNotícias de informática e segurançaBoletins, artigos, livros e dicas sobre segurançaO que oferecemosArquivos sobre segurançaUm apoio culturalFale com a Pangeia

 


 

 

 

SEGURANÇA

Sintomas de um RootKit instalado

29 de Abril de 2000

Os principais sintomas que a
instalação foi comprometida pelo RootKit.

Note que os itens 1 e 2 são default, e podem ser
facilmente alterados nos fontes.

1) Porta 31337 sendo ouvida(LISTEN) ou em uso.
(Pode ser verificado mesmo que o programa "netstat" esteja
comprometido)

2) Existencia dos seguintes arquivos:

  • /dev/ptyp
  • /dev/ptyq
  • /dev/ptyr
  • /dev/ptys
  • /dev/hda02
2a) Existencia do diretorio: /var/run/.tmp
 

3) modificação de data e principalmente (já que o instalador mantem as
datas originais) de tamanho em alguns dos seguintes programas:
    ls du
    login chsh
    chfn ps
    top inetd
    passwd rshd
    netstat ifconfig
    syslogd find
    killall su
    sshd cron


O RootKit pode ser instalado parcialmente, portanto não há
necessidade de todos programas estarem com os tamanhos alterados.


Voltar
Início

Copyright © 1995 - 2000 Pangeia Informática LTDA. Todos os direitos reservados.