Foros del Web » Administración de Sistemas » Cloud Computing »

5 POSSIBLE Trojans Detected

Estas en el tema de 5 POSSIBLE Trojans Detected en el foro de Cloud Computing en Foros del Web. Revisando en WHM/cPanel > Security > Scan for Trojan Horses. Me aparece: Possible Trojan - /etc/cron.daily/logrotate Possible Trojan - /usr/bin/cpan Possible Trojan - /usr/bin/instmodsh Possible ...
  #1 (permalink)  
Antiguo 02/04/2007, 13:32
Avatar de chero07  
Fecha de Ingreso: marzo-2007
Mensajes: 299
Antigüedad: 17 años, 8 meses
Puntos: 2
5 POSSIBLE Trojans Detected

Revisando en WHM/cPanel > Security > Scan for Trojan Horses.

Me aparece:

Possible Trojan - /etc/cron.daily/logrotate
Possible Trojan - /usr/bin/cpan
Possible Trojan - /usr/bin/instmodsh
Possible Trojan - /usr/bin/prove
Possible Trojan - /usr/bin/pstruct
5 POSSIBLE Trojans Detected

He leído que WHM detecta estos y no es nada de que preocuparse.

¿Ustedes que opinan? Soy un nuevo en estos rumbos de manejar un servidor.
  #2 (permalink)  
Antiguo 02/04/2007, 15:46
Avatar de WebTech
Hosting Moderator
 
Fecha de Ingreso: octubre-2005
Ubicación: East Coast
Mensajes: 5.399
Antigüedad: 19 años, 1 mes
Puntos: 162
Re: 5 POSSIBLE Trojans Detected

La verdad no se porque hasta el día de hoy se sigue utilizando esa herramienta.. es totalmente inútil para encontrar verdaderos troyanos, y además siempre lanza falsos positivos.

Usa rkhunter o chkrootkit para escanear tu server.

Un saludo!
__________________
Infranetworking.com - Expertos en Hosting Multidominio, Cloud Hosting, Servidores Dedicados y Administración de Servidores Linux
  #3 (permalink)  
Antiguo 04/04/2007, 08:01
Avatar de LatamHost  
Fecha de Ingreso: octubre-2004
Ubicación: Santiago, Chile
Mensajes: 522
Antigüedad: 20 años, 1 mes
Puntos: 1
Re: 5 POSSIBLE Trojans Detected

Coincido con webtech, lo mejor es usar rkhunter para esos fines.
__________________
MiRevolucionDigital.com - Unete a la revolución digital!
  #4 (permalink)  
Antiguo 11/04/2007, 22:12
Avatar de magaly4ever  
Fecha de Ingreso: febrero-2007
Ubicación: Miraflores - Lima - Perú
Mensajes: 76
Antigüedad: 17 años, 9 meses
Puntos: 0
Exclamación Re: 5 POSSIBLE Trojans Detected

Disculpen mi innorancia como se usa el rkhunter?? como un anti spyware normal en la pc? o puedo hacer que limpie tambien mi VPS, y como se hace eso?

Saludos

MaGuM
  #5 (permalink)  
Antiguo 11/04/2007, 22:16
Avatar de chero07  
Fecha de Ingreso: marzo-2007
Mensajes: 299
Antigüedad: 17 años, 8 meses
Puntos: 2
Re: 5 POSSIBLE Trojans Detected

Cita:
Iniciado por magaly4ever Ver Mensaje
Disculpen mi innorancia como se usa el rkhunter?? como un anti spyware normal en la pc? o puedo hacer que limpie tambien mi VPS, y como se hace eso?

Saludos

MaGuM
Misma pregunta.
  #6 (permalink)  
Antiguo 12/04/2007, 01:25
Avatar de cincinnati  
Fecha de Ingreso: noviembre-2002
Ubicación: Cerca, muy cerca
Mensajes: 971
Antigüedad: 22 años
Puntos: 29
Re: 5 POSSIBLE Trojans Detected

http://sourceforge.net/docman/displa...roup_id=155034


1.1) What is Rootkit Hunter?

Rootkit Hunter (RKH) is an easy-to-use tool which checks computers running UNIX (clones) for the presence of rootkits and other unwanted tools.
__________________
Be water my friend
  #7 (permalink)  
Antiguo 12/04/2007, 07:12
Avatar de LatamHost  
Fecha de Ingreso: octubre-2004
Ubicación: Santiago, Chile
Mensajes: 522
Antigüedad: 20 años, 1 mes
Puntos: 1
Re: 5 POSSIBLE Trojans Detected

Instalar rkhunter y luego:

# /usr/bin/rkhunter -c

Saludos
__________________
MiRevolucionDigital.com - Unete a la revolución digital!
  #8 (permalink)  
Antiguo 12/04/2007, 09:14
Avatar de Latin_Carrier  
Fecha de Ingreso: febrero-2007
Mensajes: 195
Antigüedad: 17 años, 9 meses
Puntos: 0
Re: 5 POSSIBLE Trojans Detected

Como Instalar rkhunter?
wget -c http://downloads.rootkit.nl/rkhunter-1.2.8.tar.gz
tar -zxvf rkhunter-1.2.8.tar.gz
cd rkhunter-1.2.8
./installer.sh

una ves terminama la instalacion corres

/usr/local/bin/rkhunter -c

al final te va a dar un reporte de los posibles trojanos que tengas.

para que el programa escane solo tu servidor diaramente has esto

nano /etc/cron.daily/rkhunter.sh ( se va a abrir una pantalla en negro y agregas esto)

#!/bin/bash
(/usr/local/bin/rkhunter -c --cronjob 2>&1 | mail -s "Escan Diario de RKhunter" [email protected]) <<< rempleza [email protected] por tu email

despues aprietas las teclas
control + c
Y

luego vas a regresar al linea de comandos ( command propmt)

ejecutas esto
chmod +x /etc/cron.daily/rkhunter.sh

listo eso es todo, todos los dias recibiras en tu email un reporte diario del scan de tu pc. Cabe destacar que puedes hacer reportes diarios de todo lo que haga tu pc.
__________________
Miguel
www.miweblatina.com
Servicios Profesionales de Internet
www.comunidadHosting.com El portal del Internet
  #9 (permalink)  
Antiguo 12/04/2007, 11:56
Avatar de chero07  
Fecha de Ingreso: marzo-2007
Mensajes: 299
Antigüedad: 17 años, 8 meses
Puntos: 2
Re: 5 POSSIBLE Trojans Detected

Muchas gracias no hay ningún problema para instalar esto o algo?

No gasta recursos? Saludos!
  #10 (permalink)  
Antiguo 12/04/2007, 13:26
Avatar de WebTech
Hosting Moderator
 
Fecha de Ingreso: octubre-2005
Ubicación: East Coast
Mensajes: 5.399
Antigüedad: 19 años, 1 mes
Puntos: 162
Re: 5 POSSIBLE Trojans Detected

Cita:
Iniciado por chero07 Ver Mensaje
Muchas gracias no hay ningún problema para instalar esto o algo?

No gasta recursos? Saludos!
No, no crea conflicto alguno con el sistema, y tampoco genera una carga elevada al correrse.

Cita:
Iniciado por Latin_Carrier
Como Instalar rkhunter?
wget -c http://downloads.rootkit.nl/rkhunter-1.2.8.tar.gz
tar -zxvf rkhunter-1.2.8.tar.gz
cd rkhunter-1.2.8
./installer.sh
Solo corregir un detalle, la última versión es la 1.2.9, descargable desde http://sourceforge.net/projects/rkhunter/ .

--

Todos han olvidado algo muy importante, mantener la base de datos de rkhunter actualizada, sin una base de datos actualizada, rkhunter suele dar muchos falsos positivos. De paso también puedes agregar esto al inicio del script diario de reportes que ha señalado Latin_Carrier.

Corre el siguiente comando para actualizarla:

Código:
rkhunter --update
Un saludo!
__________________
Infranetworking.com - Expertos en Hosting Multidominio, Cloud Hosting, Servidores Dedicados y Administración de Servidores Linux

Última edición por WebTech; 12/04/2007 a las 13:35
  #11 (permalink)  
Antiguo 26/05/2007, 15:44
 
Fecha de Ingreso: febrero-2006
Mensajes: 72
Antigüedad: 18 años, 9 meses
Puntos: 2
Re: 5 POSSIBLE Trojans Detected

Hola,

segui estos consejos e instalé el rkhunter, lo corri y todo bien. En el resumen me informa lo siguiente:

---------------------------- Scan results ----------------------------

MD5 scan
Skipped

File scan
Scanned files: 342
Possible infected files: 0

Application scan
Vulnerable applications: 2

Scanning took 346 seconds
----------------------------------------------------------------------

Me preguntaba como saber cuales son las 2 aplicaciones vulnerables.?? una de las dos puede ser esta?: [ Warning (SSH v1 allowed) ]???.

Gracias, se aprende mucho de ustedes.
  #12 (permalink)  
Antiguo 26/05/2007, 16:18
Avatar de WebTech
Hosting Moderator
 
Fecha de Ingreso: octubre-2005
Ubicación: East Coast
Mensajes: 5.399
Antigüedad: 19 años, 1 mes
Puntos: 162
Re: 5 POSSIBLE Trojans Detected

Lugano,

Cita:
Me preguntaba como saber cuales son las 2 aplicaciones vulnerables.??
Seguramente más arriba antes de que te de esos resultados, te muestre el escaneo de las aplicaciones, busca "Application version scan", ahí seguro tienes esos 2 warnings, rkhunter no es fiable al 100% en este escaneo específico y casi siempre alguna versión de PHP, GnuPG u OpenSSL las da como viejas.

Cita:
Warning (SSH v1 allowed)
.
Te sugiero que arregles ese fallo, estas usando el protocolo 1 de SSH, que es altamente explotable, para corregir ese warning de SSH, deberás editar el archivo /etc/ssh/sshd_config.

Busca la linea "Protocol 1,2", y cambiala para que quede "Protocol 2".

Luego reinicia el servicio:

Código:
/etc/init.d/sshd restart 
Saludos,
__________________
Infranetworking.com - Expertos en Hosting Multidominio, Cloud Hosting, Servidores Dedicados y Administración de Servidores Linux
  #13 (permalink)  
Antiguo 26/05/2007, 18:11
 
Fecha de Ingreso: febrero-2006
Mensajes: 72
Antigüedad: 18 años, 9 meses
Puntos: 2
Re: 5 POSSIBLE Trojans Detected

Hola WebTech... gracias eres un genio.

Mira esto es lo que hay en el archivo sshd_config

#Port 22
#Protocol 2,1


Saludos cordiales gracias nuevamente.

Última edición por lugano; 26/05/2007 a las 18:19
  #14 (permalink)  
Antiguo 26/05/2007, 18:16
Avatar de WebTech
Hosting Moderator
 
Fecha de Ingreso: octubre-2005
Ubicación: East Coast
Mensajes: 5.399
Antigüedad: 19 años, 1 mes
Puntos: 162
Re: 5 POSSIBLE Trojans Detected

Ha sido un placer Lugano

Simplemente en ese caso descomenta y edita la segunda linea, para que quede así:

Protocol 2

También te recomendaría cambiar la otra variable, a un puerto diferente al 22, mayor al 1024 y menor al 65535. Por ejemplo 45098:

Port 45098

Luego reinicia el servicio:

Código:
/etc/init.d/sshd restart 
Esto último le dará mayor seguridad a tu servidor SSH, recuerda que has cambiado el puerto de SSH, por lo que la próxima vez para conectar tendrás que especificar ese puerto, si lo haces desde consola será ssh -p NUMERODEPUERTO root@IPDETUSERVER, si es desde un cliente ssh como Putty u otros, solo cambia el puerto desde donde se especifique, adicionalmente, deberás abrir el puerto desde el firewall si estás usando alguno.

Saludos,
__________________
Infranetworking.com - Expertos en Hosting Multidominio, Cloud Hosting, Servidores Dedicados y Administración de Servidores Linux

Última edición por WebTech; 26/05/2007 a las 20:21
  #15 (permalink)  
Antiguo 28/05/2007, 11:57
 
Fecha de Ingreso: diciembre-2006
Mensajes: 439
Antigüedad: 17 años, 11 meses
Puntos: 1
Re: 5 POSSIBLE Trojans Detected

y en el caso de que rkhunter encuentre una aplicacion que es realmente un troyano.
al scanear, rkhunter lo elimina automaticamente?
me solicitara una pregunta para confirmar borrar?
o hay q ejecutar algun comando para eliminar ese troyano

Salu2
  #16 (permalink)  
Antiguo 28/05/2007, 12:40
Avatar de WebTech
Hosting Moderator
 
Fecha de Ingreso: octubre-2005
Ubicación: East Coast
Mensajes: 5.399
Antigüedad: 19 años, 1 mes
Puntos: 162
Re: 5 POSSIBLE Trojans Detected

José,

Rkhunter no borra los troyanos o scripts maliciosos, solo te da un aviso, una advertencia, tu mismo tendrás que investigar como removerlo, mismo caso de arriba para la configuración de SSH que usaba la versión 1, solo muestra una advertencia.

Saludos,
__________________
Infranetworking.com - Expertos en Hosting Multidominio, Cloud Hosting, Servidores Dedicados y Administración de Servidores Linux
  #17 (permalink)  
Antiguo 28/05/2007, 14:02
 
Fecha de Ingreso: diciembre-2006
Mensajes: 439
Antigüedad: 17 años, 11 meses
Puntos: 1
Re: 5 POSSIBLE Trojans Detected

hice el cambio , puse:

Port 3522
Protocol 2

y luego reinicié servicios sshd , si bien , ahora me logueo a traves de ese otro puerto, al pasar nuevamente rkhunter, me muestra el mismo mensaje de advertencia :

* Check: SSH
Searching for sshd_config...
Found /etc/ssh/sshd_config
Checking for allowed root login... Watch out Root login possible. Possible risk!
Hint: see logfile for more information info:


Adicionalmente, deseaba preguntarte :
como actualizas a :
-GnuPG 1.2.6
-OpenSSL 0.9.7a
-PHP 4.3.9

Salu2
  #18 (permalink)  
Antiguo 28/05/2007, 16:03
Avatar de WebTech
Hosting Moderator
 
Fecha de Ingreso: octubre-2005
Ubicación: East Coast
Mensajes: 5.399
Antigüedad: 19 años, 1 mes
Puntos: 162
Re: 5 POSSIBLE Trojans Detected

Cita:
Iniciado por Jose1310 Ver Mensaje
hice el cambio , puse:

Port 3522
Protocol 2

y luego reinicié servicios sshd , si bien , ahora me logueo a traves de ese otro puerto, al pasar nuevamente rkhunter, me muestra el mismo mensaje de advertencia :

* Check: SSH
Searching for sshd_config...
Found /etc/ssh/sshd_config
Checking for allowed root login... Watch out Root login possible. Possible risk!
Hint: see logfile for more information info:
Eso sucede porque usas root para loguearte al servidor, lo que dije anteriormente no era para solucionar este mensaje.

Si quieres hacer esto, deberás agregar un usuario al sistema, luego agregarlo en la varible "AllowUsers" de sshd_config, y luego poner en "no" la variable permitrootlogin, ten en cuenta que si haces esto mal, te quedarás fuera de tu server, así que te sugiero que lo investigues bien por tu cuenta, y que sobre todo llegues a entender para que sirve lo que hace ese cambio.

Cita:
Adicionalmente, deseaba preguntarte :
como actualizas a :
-GnuPG 1.2.6
-OpenSSL 0.9.7a
-PHP 4.3.9
Sobre esto José, internet es muy amplio, hay muchos manuales y guías, primero inténtalo tu mismo, no vale de nada que te digamos todas las respuestas. Si luego de una investigación exhaustiva no has llegado a nada, postea y estoy seguro que alguien podrá guiarte.

Saludos,
__________________
Infranetworking.com - Expertos en Hosting Multidominio, Cloud Hosting, Servidores Dedicados y Administración de Servidores Linux

Última edición por WebTech; 28/05/2007 a las 16:13
  #19 (permalink)  
Antiguo 28/05/2007, 19:48
Avatar de Apolo
Colaborador
 
Fecha de Ingreso: abril-2003
Ubicación: ubicado
Mensajes: 7.961
Antigüedad: 21 años, 7 meses
Puntos: 109
Re: 5 POSSIBLE Trojans Detected

Cita:
Iniciado por WebTech
Sobre esto José, internet es muy amplio, hay muchos manuales y guías, primero inténtalo tu mismo, no vale de nada que te digamos todas las respuestas. Si luego de una investigación exhaustiva no has llegado a nada, postea y estoy seguro que alguien podrá guiarte
Hombre, WebTech, que aplaudo públicamente la paciencia que has tenido. Yo creo que una cosa es la ayuda, pero otra es el abuso por parte de otros usuarios que sueltan preguntas como máquinas, en lugar de quemarse un poquito las pestañas documentándose. Yo por mi parte soy partidario de "ayúdate que yo te ayudaré", pero no de "oigan, resuélvanme todo que así es más cómodo para mí, pues no tengo que invertir ni tiempo ni dinero... ah, y si estás de buena suerte, de pronto hasta te doy las gracias.".

Yo creo que los foros son para compartir y ayudar, pero no para abusar de la buena voluntad de otros usuarios.

Saludos,
__________________
Planes VPS en el mundo > DirectorioVPS
Visita los foros de hosting de ComunidadHosting
  #20 (permalink)  
Antiguo 28/05/2007, 20:23
Avatar de WebTech
Hosting Moderator
 
Fecha de Ingreso: octubre-2005
Ubicación: East Coast
Mensajes: 5.399
Antigüedad: 19 años, 1 mes
Puntos: 162
Re: 5 POSSIBLE Trojans Detected

Gracias Apolo, tienes razón, he durado bastante pero todos tenemos límites

Estoy muy de acuerdo en lo que dices.. me he dado cuenta ya con esa última solicitud de José (y con otros usuarios también), que aveces la gente se aprovecha de la buena voluntad... y muchos de nosotros terminamos dando soporte en los foros en vez de solo guiar y ayudar... personalmente es algo en lo que debo trabajar, pues con el afán de solucionar las cosas, muchas veces no me doy cuenta hasta que ya he escrito una completa guía

Saludos,
__________________
Infranetworking.com - Expertos en Hosting Multidominio, Cloud Hosting, Servidores Dedicados y Administración de Servidores Linux
  #21 (permalink)  
Antiguo 30/05/2007, 14:00
 
Fecha de Ingreso: diciembre-2006
Mensajes: 439
Antigüedad: 17 años, 11 meses
Puntos: 1
Re: 5 POSSIBLE Trojans Detected

Lamento el haberte incomodado con las preguntas que te hago, los cuales tienen como finalidad ampliar las respuestas a la pregunta inicial

Respondiendome a mi pregunta Inicial.

para actualizar de software de un server,

En Centos, Fedora y demas familias es :
yum update <aplicacion>

En Suse , ubunto es:
apt-get <aplicacion>


Si no sabes el nombre completo de la aplicacion. Pones

rpm -q php

y te devolvera el nombre completo de la aplicacion php

Salu2
  #22 (permalink)  
Antiguo 30/05/2007, 16:04
Avatar de WebTech
Hosting Moderator
 
Fecha de Ingreso: octubre-2005
Ubicación: East Coast
Mensajes: 5.399
Antigüedad: 19 años, 1 mes
Puntos: 162
Re: 5 POSSIBLE Trojans Detected

Cita:
Iniciado por Jose1310 Ver Mensaje
Lamento el haberte incomodado con las preguntas que te hago, los cuales tienen como finalidad ampliar las respuestas a la pregunta inicial
Ampliar.. mmm, te fuiste de un tema de seguridad de SSH, a hacer un upgrade de apliaciones, una ampliación bastante grande diría yo

Cita:
Respondiendome a mi pregunta Inicial.
para actualizar de software de un server,

En Centos, Fedora y demas familias es :
yum update <aplicacion>
Esto depende, por ejemplo, si usas yum para actualizar PHP en un servidor CentOS o RedHat Enterprise 3.x , 4.x o 5 con cPanel, terminarás estropeando todo y tus páginas no se verán, igual si actualizas apache, depende del panel de control que uses también, aunque como comando genérico para servidores planos, si.

Cita:
En Suse , ubunto es:
apt-get <aplicacion>
Esto es erróneo, tanto en Suse, Ubuntu o cualquier derivado de Debian, con esto obtendrás el siguiente resultado:

Código:
[[email protected]:~]apt-get php
E: Operación inválida: php
[[email protected]:~]
Lo correcto, es usar:

Código:
apt-get install aplicación
o para remover

Código:
apt-get remove aplicación
Creo que si puedes instalar Apt en Suse adaptando los sources lists, pero el manejador de paquetes original de esta distro es Yast, no Apt.

Saludos,
__________________
Infranetworking.com - Expertos en Hosting Multidominio, Cloud Hosting, Servidores Dedicados y Administración de Servidores Linux

Última edición por WebTech; 30/05/2007 a las 17:07
Atención: Estás leyendo un tema que no tiene actividad desde hace más de 6 MESES, te recomendamos abrir un Nuevo tema en lugar de responder al actual.
Respuesta




La zona horaria es GMT -6. Ahora son las 02:16.