hola Jenag, lo más práctico para mí a la hora de gestionar los procesos medianamente "normales" es el comando
(o sus derivados, atop htop etc, estos últimos deben instalarse desde el apt)
puedes tirar uno general, o bien ver los parámetros para aislarlo entre usuarios (-u) pid (-p) etc.
el mismo en la última columna te especifica el comando que se está ejecutando.
mientras abro otra terminal y con ps detallo más info del pid sospechoso:
ahí detalla la ruta en donde se encuentra el nefasto script, jej, luego con
kill -9 pid (con -1 reinicia) o killall comando_indicado_en_top, lo matas
puedes también usar salidas de netstat, el mismo te arroja el pid que está utilizando el puerto.
ahora bien... ya debes haber hecho lo anterior y no diste con el lkm.. al ser muy malévolo el adore/rookit que tienes en la canastita, el mismo puede ser transparente a ps y a todos sus parámetros, solo queda utilizar la herramienta unhide (lo ideal compilarla a mano de manera estática, pero bien puedes instalarla con apt-get install unhide)
tiene muchisimos parámetros, los más usuales son sys
(pemite detectar procesos ocultos y su ubicacion) y
./unhide proc, (o procall)
(muy interesante, permite ver a que herramientas es transparente el bichito)
muestra tanto resultados en terminal como volcado en var/logs.
saludos
(agrego) perdón! el log lo tira en el mismo root cuando lo ejecutas... debe ser el único jaja XD
Gh057 gracias , dame tiempo para asimilarlo y haber que puedo hacer , ahora no estoy con el otro pc infectado..xD
Es que me pregunté que pasaria si no utilizo tripwire en el s.o en cuestión pero bueno ahora que me has pasado tus ideas a la cestita tendré que ponerlo en práctica..
Para no desviar el hilo adjunto un poco de info sobre el honeypot :
El mejor honeypot es poner un servidor en producción , aunque sea algo pequeño y empezar a analizar logs , con eso sí que se aprende..
Uno por el que se puede empezar seria :
http://project.forat.info/project-2010-servidor-web-bajo-linux-ubuntu-server/http://www.forat.info/2008/03/05/como-montar-un-servidor-web-con-linux-debian/Y no estaría mal para probar y andar trasteando DVL..
http://www.aegis.pe/2013/12/damn-vulnerable-linux.htmlY virtualizar kali desde virtualbox seria una opción muy buena , como aprender seguridad y optimizacion en servidores gnu linux.
Aunque personalmente me gusta mas los servidores basados en debian.xD