5 POSSIBLE Trojans Detected

Revisando en WHM/cPanel > Security > Scan for Trojan Horses.

Me aparece:

Possible Trojan - /etc/cron.daily/logrotate
Possible Trojan - /usr/bin/cpan
Possible Trojan - /usr/bin/instmodsh
Possible Trojan - /usr/bin/prove
Possible Trojan - /usr/bin/pstruct
5 POSSIBLE Trojans Detected

He leído que WHM detecta estos y no es nada de que preocuparse.

¿Ustedes que opinan? Soy un nuevo en estos rumbos de manejar un servidor.

La verdad no se porque hasta el día de hoy se sigue utilizando esa herramienta.. es totalmente inútil para encontrar verdaderos troyanos, y además siempre lanza falsos positivos.

Usa rkhunter o chkrootkit para escanear tu server.

Un saludo!

Coincido con webtech, lo mejor es usar rkhunter para esos fines.

Disculpen mi innorancia como se usa el rkhunter?? como un anti spyware normal en la pc? o puedo hacer que limpie tambien mi VPS, y como se hace eso?

Saludos

MaGuM

Misma pregunta.

http://sourceforge.net/docman/displa...roup_id=155034


1.1) What is Rootkit Hunter?

Rootkit Hunter (RKH) is an easy-to-use tool which checks computers running UNIX (clones) for the presence of rootkits and other unwanted tools.

Instalar rkhunter y luego:

# /usr/bin/rkhunter -c

Saludos

Como Instalar rkhunter?
wget -c http://downloads.rootkit.nl/rkhunter-1.2.8.tar.gz
tar -zxvf rkhunter-1.2.8.tar.gz
cd rkhunter-1.2.8
./installer.sh

una ves terminama la instalacion corres

/usr/local/bin/rkhunter -c

al final te va a dar un reporte de los posibles trojanos que tengas.

para que el programa escane solo tu servidor diaramente has esto

nano /etc/cron.daily/rkhunter.sh ( se va a abrir una pantalla en negro y agregas esto)

#!/bin/bash
(/usr/local/bin/rkhunter -c --cronjob 2>&1 | mail -s "Escan Diario de RKhunter" [email protected]) <<< rempleza [email protected] por tu email

despues aprietas las teclas
control + c
Y

luego vas a regresar al linea de comandos ( command propmt)

ejecutas esto
chmod +x /etc/cron.daily/rkhunter.sh

listo eso es todo, todos los dias recibiras en tu email un reporte diario del scan de tu pc. Cabe destacar que puedes hacer reportes diarios de todo lo que haga tu pc.

Muchas gracias no hay ningún problema para instalar esto o algo?

No gasta recursos? Saludos!

No, no crea conflicto alguno con el sistema, y tampoco genera una carga elevada al correrse.

Solo corregir un detalle, la última versión es la 1.2.9, descargable desde http://sourceforge.net/projects/rkhunter/ .

--

Todos han olvidado algo muy importante, mantener la base de datos de rkhunter actualizada, sin una base de datos actualizada, rkhunter suele dar muchos falsos positivos. De paso también puedes agregar esto al inicio del script diario de reportes que ha señalado Latin_Carrier.

Corre el siguiente comando para actualizarla:

Un saludo!

Hola,

segui estos consejos e instalé el rkhunter, lo corri y todo bien. En el resumen me informa lo siguiente:

---------------------------- Scan results ----------------------------

MD5 scan
Skipped

File scan
Scanned files: 342
Possible infected files: 0

Application scan
Vulnerable applications: 2

Scanning took 346 seconds
----------------------------------------------------------------------

Me preguntaba como saber cuales son las 2 aplicaciones vulnerables.?? una de las dos puede ser esta?: [ Warning (SSH v1 allowed) ]???.

Gracias, se aprende mucho de ustedes.

Lugano,

Seguramente más arriba antes de que te de esos resultados, te muestre el escaneo de las aplicaciones, busca "Application version scan", ahí seguro tienes esos 2 warnings, rkhunter no es fiable al 100% en este escaneo específico y casi siempre alguna versión de PHP, GnuPG u OpenSSL las da como viejas.

.
Te sugiero que arregles ese fallo, estas usando el protocolo 1 de SSH, que es altamente explotable, para corregir ese warning de SSH, deberás editar el archivo /etc/ssh/sshd_config.

Busca la linea "Protocol 1,2", y cambiala para que quede "Protocol 2".

Luego reinicia el servicio:

Saludos,

Hola WebTech... gracias eres un genio.

Mira esto es lo que hay en el archivo sshd_config

#Port 22
#Protocol 2,1


Saludos cordiales gracias nuevamente.

Ha sido un placer Lugano

Simplemente en ese caso descomenta y edita la segunda linea, para que quede así:

Protocol 2

También te recomendaría cambiar la otra variable, a un puerto diferente al 22, mayor al 1024 y menor al 65535. Por ejemplo 45098:

Port 45098

Luego reinicia el servicio:

Esto último le dará mayor seguridad a tu servidor SSH, recuerda que has cambiado el puerto de SSH, por lo que la próxima vez para conectar tendrás que especificar ese puerto, si lo haces desde consola será ssh -p NUMERODEPUERTO root@IPDETUSERVER, si es desde un cliente ssh como Putty u otros, solo cambia el puerto desde donde se especifique, adicionalmente, deberás abrir el puerto desde el firewall si estás usando alguno.

Saludos,

y en el caso de que rkhunter encuentre una aplicacion que es realmente un troyano.
al scanear, rkhunter lo elimina automaticamente?
me solicitara una pregunta para confirmar borrar?
o hay q ejecutar algun comando para eliminar ese troyano

Salu2

José,

Rkhunter no borra los troyanos o scripts maliciosos, solo te da un aviso, una advertencia, tu mismo tendrás que investigar como removerlo, mismo caso de arriba para la configuración de SSH que usaba la versión 1, solo muestra una advertencia.

Saludos,

hice el cambio , puse:

Port 3522
Protocol 2

y luego reinicié servicios sshd , si bien , ahora me logueo a traves de ese otro puerto, al pasar nuevamente rkhunter, me muestra el mismo mensaje de advertencia :

* Check: SSH
Searching for sshd_config...
Found /etc/ssh/sshd_config
Checking for allowed root login... Watch out Root login possible. Possible risk!
Hint: see logfile for more information info:


Adicionalmente, deseaba preguntarte :
como actualizas a :
-GnuPG 1.2.6
-OpenSSL 0.9.7a
-PHP 4.3.9

Salu2

Eso sucede porque usas root para loguearte al servidor, lo que dije anteriormente no era para solucionar este mensaje.

Si quieres hacer esto, deberás agregar un usuario al sistema, luego agregarlo en la varible "AllowUsers" de sshd_config, y luego poner en "no" la variable permitrootlogin, ten en cuenta que si haces esto mal, te quedarás fuera de tu server, así que te sugiero que lo investigues bien por tu cuenta, y que sobre todo llegues a entender para que sirve lo que hace ese cambio.

Sobre esto José, internet es muy amplio, hay muchos manuales y guías, primero inténtalo tu mismo, no vale de nada que te digamos todas las respuestas. Si luego de una investigación exhaustiva no has llegado a nada, postea y estoy seguro que alguien podrá guiarte.

Saludos,

Hombre, WebTech, que aplaudo públicamente la paciencia que has tenido. Yo creo que una cosa es la ayuda, pero otra es el abuso por parte de otros usuarios que sueltan preguntas como máquinas, en lugar de quemarse un poquito las pestañas documentándose. Yo por mi parte soy partidario de "ayúdate que yo te ayudaré", pero no de "oigan, resuélvanme todo que así es más cómodo para mí, pues no tengo que invertir ni tiempo ni dinero... ah, y si estás de buena suerte, de pronto hasta te doy las gracias.".

Yo creo que los foros son para compartir y ayudar, pero no para abusar de la buena voluntad de otros usuarios.

Saludos,

Gracias Apolo, tienes razón, he durado bastante pero todos tenemos límites

Estoy muy de acuerdo en lo que dices.. me he dado cuenta ya con esa última solicitud de José (y con otros usuarios también), que aveces la gente se aprovecha de la buena voluntad... y muchos de nosotros terminamos dando soporte en los foros en vez de solo guiar y ayudar... personalmente es algo en lo que debo trabajar, pues con el afán de solucionar las cosas, muchas veces no me doy cuenta hasta que ya he escrito una completa guía

Saludos,

Lamento el haberte incomodado con las preguntas que te hago, los cuales tienen como finalidad ampliar las respuestas a la pregunta inicial

Respondiendome a mi pregunta Inicial.

para actualizar de software de un server,

En Centos, Fedora y demas familias es :
yum update <aplicacion>

En Suse , ubunto es:
apt-get <aplicacion>


Si no sabes el nombre completo de la aplicacion. Pones

rpm -q php

y te devolvera el nombre completo de la aplicacion php

Salu2

Ampliar.. mmm, te fuiste de un tema de seguridad de SSH, a hacer un upgrade de apliaciones, una ampliación bastante grande diría yo

Esto depende, por ejemplo, si usas yum para actualizar PHP en un servidor CentOS o RedHat Enterprise 3.x , 4.x o 5 con cPanel, terminarás estropeando todo y tus páginas no se verán, igual si actualizas apache, depende del panel de control que uses también, aunque como comando genérico para servidores planos, si.

Esto es erróneo, tanto en Suse, Ubuntu o cualquier derivado de Debian, con esto obtendrás el siguiente resultado:

Lo correcto, es usar:

o para remover

Creo que si puedes instalar Apt en Suse adaptando los sources lists, pero el manejador de paquetes original de esta distro es Yast, no Apt.

Saludos,