posible rootkit: Xzibit Rootkit [Solucionado]
Publicado: 9 Abril, 2011 - 21:47 posible rootkit: Xzibit Rootkit [Solucionado]
DesconectadoHola a todos:
Desde que actualicé Debian a su versión 6.0 he empezado a recibir una alerta de rkhunter diciendo que posiblemente tanga instalado un Rootkit. He estado buscando información sobre esta alerta y parece que es una falsa alarma pero no acabo de quedarme tranquilo.
Warning: Checking for possible rootkit strings [ Warning ]
Found string 'hdparm' in file '/etc/init.d/hdparm'. Possible rootkit: Xzibit Rootkit¿Alguien podría aconsejarme qué es lo que puedo hacer?
- Inicie sesión o regístrese para enviar comentarios
- 1128 lecturas
Al parecer es un bug que está ya reportado desde hace tiempo que aparece en la versión 1.3.6-4 y que se ha corregido en las posteriores pero que permanece todavía en los repositorios de debian sin actualizar
http://www.mail-archive.com/debian-bugs-dist@lists.debian.org/msg726560....
http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=576680
Es un problema de tener el hdparm funcionando. Debería ser una falsa alarma. Si desinstalas y purgas hdparm (y sólo eso) y vuelves a correr rkhunter podrás comprobar si desaparece o no
Es un problema de tener el hdparm funcionando. Debería ser una falsa alarma. Si desinstalas y purgas hdparm (y sólo eso) y vuelves a correr rkhunter podrás comprobar si desaparece o no
apt-get --purge remove hdparmQuitado, muerto el perro se acabo la rabia. No se si influirá mucho haberlo quitado en la velocidad de mi disco. Por lo menos me quedo más tranquilo.
No hace daño hacer una doble comprobación al menos en éstos casos. Verifica con chkrootkit
No hace daño hacer una doble comprobación al menos en éstos casos. Verifica con chkrootkit
con chkrootkit no sale esa alerta, además es que no incluye el xzibit
ahora una vez desinstalado hdparm, rkhunter no encuentra nada anormal, pero ya te digo que es un bug conocido que ya ha sido corregido en la versión 1.3.6.5 que todavía está en testing
Rkhunter detecta este Xzibit Rootkit incluso en sistemas recién instalados que no se han visto expuestos a ningún riesgo (por ejemplo, mi ordenador personal que no conecté a internet hasta una semana después de instalar Squeeze). El mensaje es exactamente el mismo. Éste rootkit es detectado incluso cuando empleo rkhunter desde Knoppix sobre mi instalación de Debian.
A no ser que los desarrolladores de hdparm estén distribuyendo aplicaciones troyanizadas, podemos asumir que no es más que un falso positivo muy molesto.
Al parecer es un bug que está ya reportado desde hace tiempo que aparece en la versión 1.3.6-4 y que se ha corregido en las posteriores pero que permanece todavía en los repositorios de debian sin actualizar
http://www.mail-archive.com/debian-bugs-dist@lists.debian.org/msg726560....
http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=576680
El bug ya está archivado y no se efectuarán más cambios en relación a él. Ahí en el segundo enlace que indicaste te dan la solución:
[...] Please read README.Debian:
* hdparm: the string "hdparm" found in the initscripts leads to rkhunter warns
about possible Xzibit rootkit. Use the RTKT_FILE_WHITELIST option to whitelist
initscripts stating this string (eg. /etc/init.d/hdparm)
[...]
Saludos,
Sidd.