Esto surgio por que un amigo mio via cosas extra~as en su servidor, se le borraban archivos de logs, le cambiaban los contenidos de sus paginas web, etc.. Cuando analize el sistema, habia un puerto a la escucha el cual daba una shell, pero en la lista de procesos no veia nada extra~o, asi que comenze a ver algunos procesos sospechosos con gdb y uno de ellos, con el nombre "/sbin/getty tty6" tenia simbolos como socket, listen, bind, accept, al matarlo, la backdoor se cerro... Y bien, me puse a buscar herramientas del atacante y las encontre. Entre ellas estaba un codigo que se ponia a la escucha para dar una shell, la cual es la backdoor en si, y tambien tenia un programa compilado llamado 'hide' el cual lanza otros programas, pero en el Process Scheduler aparecen con otro. Esto me llamo la atencion y fue asi como me puse a destripar este binario, ya que no contaba con el codigo fuente. Agrego el programa original 'hide' para tus propias pruebas... Luego de debuggear 5 minutos me di cuenta del 'GRAN TRUCO'... Lee los comentarios de los logs.... [Sugerencia] Leer los logs en este orden: [1] shell.log [2] ltrace.log [3] strace.log [4] gdb.log [5] lierprocess.log Saludos. Nitrous http://www.danitrous.org