Rootkit hunter fui hackeado

Imagen de arielito 011
0 puntos

Pueden ayudarme, hice un scan con rkhunter y arrojo el sgte resultado, a mi entender hay indicios que fui hackeado. Que es lo que tengo que hacer? gracias.-

Checking the local host...

Performing system boot checks
Checking for local host name [ Found ]
Checking for system startup files [ Found ]
Checking system startup files for malware [ None found ]

Performing group and account checks
Checking for passwd file [ Found ]
Checking for root equivalent (UID 0) accounts [ None found ]
Checking for passwordless accounts [ None found ]
Checking for passwd file changes [ None found ]
Checking for group file changes [ None found ]
Checking root account shell history files [ OK ]

Performing system configuration file checks
Checking for SSH configuration file [ Not found ]
Checking for running syslog daemon [ Found ]
Checking for syslog configuration file [ Found ]
Checking if syslog remote logging is allowed [ Not allowed ]

Performing filesystem checks
Checking /dev for suspicious file types [ Warning ]
Checking for hidden files and directories [ Warning ]

[Press to continue]

System checks summary
=====================

File properties checks...
Files checked: 133
Suspect files: 0

Rootkit checks...
Rootkits checked : 242
Possible rootkits: 0

Applications checks...
All checks skipped

The system checks took: 5 minutes and 58 seconds

All results have been written to the log file (/var/log/rkhunter.log)

One or more warnings have been found while checking the system.
Please check the log file (/var/log/rkhunter.log)

Imagen de rioport
+1
0
-1

Por favor deja la paranoia en otro lado. ¿Ya revistaste el log? o nada más sueltas esos disparates (fui hackeado) porque si, sin sentido.

+1
0
-1

-- GC --

Imagen de arielito 011
+1
0
-1

estoy buscando ayuda ya que me dio ese resultado el informe del scan, no es un disparate, es algo serio, no me da accso al log.
gracias por tu comprension

+1
0
-1
Imagen de furtaxi
+1
0
-1

gedit /var/log/rkhunter.log

Ahora, que ésto:

System checks summary
=====================

File properties checks...
Files checked: 133
Suspect files: 0

Rootkit checks...
Rootkits checked : 242
Possible rootkits: 0

Applications checks...
All checks skipped

The system checks took: 5 minutes and 58 seconds

All results have been written to the log file (/var/log/rkhunter.log)

One or more warnings have been found while checking the system.
Please check the log file (/var/log/rkhunter.log)

No tiene ningún síntoma de un ataque serio. Sólo son warnings, que, lo más seguro, sean falsos positivos, por aplicaciones, controladores o códecs privativos de tu sistema.

+1
0
-1

Mi web : www.vigovideo.es
Buscar es más rápido que esperar una respuesta.

Imagen de selerto
+1
0
-1

Hola amigo.

Pues no, escribiendo 'solo' eso en el terminal no debería funcionar, a mi no me funciona. En todo caso sería: sudo gedit /var/log/rkhunter.log

Tampoco creo que los warnings que le aparecen estén relacionados con elementos privativos. En mi caso, y posiblemente en el suyo sea algo parecido, lo que me dice el log es:

Checking /dev for suspicious file types [ Warning ]
Warning: Suspicious file types found in /dev:
/dev/shm/pulse-shm-4184881027: data
/dev/shm/pulse-shm-1447561671: data
/dev/shm/pulse-shm-129351271: data
/dev/shm/pulse-shm-1061700747: data
/dev/shm/pulse-shm-153439628: data
/dev/shm/pulse-shm-2192517060: data
Checking for hidden files and directories [ Warning ]
Warning: Hidden directory found: /dev/.udev
Warning: Hidden directory found: /dev/.initramfs

Eso sí, en ambos casos son alertas inofensivas. El primero supongo que es una limitación de la base de datos del rkhunter, son tantos los dispositivos posibles que es normal que falte alguno, la segunda es cosa de la configuración, basta con descomentar algunas líneas en el /etc/rkhunter.conf
https://bugs.launchpad.net/ubuntu/+source/rkhunter/+bug/219840

+1
0
-1
Imagen de furtaxi
+1
0
-1

Como no había que editar el archivo, sino sólo visualizarlo, por ello puse la orden sin sudo.

Debería funcionar igualmente, es lo que hago cuando quiero consultar fstab o sources.list, sin riesgo a cambiar algo.

+1
0
-1

Mi web : www.vigovideo.es
Buscar es más rápido que esperar una respuesta.

Imagen de cousteau
+1
0
-1

A lo mejor tiene puesto modo o-r, es decir, que sólo root los puede leer (no sólo está protegido contra escritura sino también contra lectura). Por ejemplo el archivo /etc/shadow tiene este modo.

+1
0
-1

«E: dpkg was interrupted, you must manually run 'dpkg --configure -a' to correct the problem» significa que dpkg se ha interrumpido y que tienes que ejecutar "sudo dpkg --configure -a" para corregir el problema.
Imagen de cousteau
+1
0
-1

File properties checks...
Files checked: 133
Suspect files: 0

Rootkit checks...
Rootkits checked : 242
Possible rootkits: 0

Más que no tener ningún síntoma, yo diría que está seguro de que no hay ningún rootkit o archivo sospechoso, por lo que al programa concierne. Está sanísimo. Vamos, que según ese programa, NO fuiste hackeado.

+1
0
-1

«E: dpkg was interrupted, you must manually run 'dpkg --configure -a' to correct the problem» significa que dpkg se ha interrumpido y que tienes que ejecutar "sudo dpkg --configure -a" para corregir el problema.
Imagen de chovi
+1
0
-1

System checks summary
=====================

File properties checks...
Required commands check failed
Files checked: 135
suspect files: 4

Rootkit checks...
Rootkits checked : 251
Possible rootkits: 5
Rootkit names : -cb Rootkit
-Scalper Worm
-SHV4 Rootkit
-SHV5 Rootkit
-Lite5-r Rootkit

Applications checks...
Applications checked: 6
Suspect applications: 4

The system checks took: 12 minutes and 3 seconds

All results have been written to the log file
(/var/log/rkhunter.log)

***************************************************
Hice un Scan con el RKH me dió este Resultado, en la web encontré la manera de eliminar el Scalper Worm :
# rm -r /tmp/./.a
...y ya no me detecta el "Scalper" al hacer otro Checkeo del RKH, pero no encuentro la manera de como Eliminar los que me Faltan!!!
---Esto en un Server con Ubuntu. =D
...Saluds!!!! desde México.

+1
0
-1

_<<*~~100pr3 L!br€~~*>>:~$_|