[Previo por Fecha] [Siguiente por Fecha] [Previo por Hilo] [Siguiente por Hilo]
[Hilos de Discusión] [Fecha] [Tema] [Autor]Arquimedes: Este tipo de asuntos son muy delicados, ya que te pudo haber pasado algo bastante fuerte. Para arreglarlo, promero actualiza tu version de 5.1 a 5.2 con todos sus updates, el mensaje de NFS unautorized acces se debio a que tienes seguramente el rpc.mountd o el nfs o nfsfs activado, para desactivar el nfs o nfsfs vete a una ventana siendo root y ponle el comando ntsysv, y te mostrara los servicios que tienes activados, desactiva el nfs y nfsfs. para chechar que rpc's estan corriendo escribe el comando rpcinfo -p localhost, y te mostrara todos los procesos que remotamente estan activados en tu maquina, leete la documentacion de como desactivarlos. Este exploit es muy conocido entre los hackers. Ahora, el caso de que te pusieron una linea en tu passwd se debio a que tienes el imapd activado edita el archivo /etc/inetd.conf y busca imapd y ponle un "#" al principio de la linea. # imapd stream tcp nowait root /usr/bin/tcp imapd y no olvides de editar tu archivo /etc/hosts.deny y /etc/hosts.allow para poder restringir las entradas de tu archivo. Sientete libre, usa linux!!!!!!! Marco Antonio Hernandez Cisneros e-mail: mahernan en digital-server com On Wed, 7 Apr 1999, Arquimedes wrote: > > lista que tal > > > > en verdad estoy preocupado > > ayer durante mi conexion a internet nocturna, alguien entro a mi linux > > 5.1 con kernel 2.0.34 ilegalmente. > > Lo que me preocupa es que en los logs "last" aparecen los logs normales > > de root (los mios y los unicos)_ y los de reboot. > > Me di cuenta que habia alguien porque escribio un mensaje al sistema > > el mensaje venia de syslog@localhost > > ademas agrego un usuario directamente al /etc/passwd sin password y con > > caracteristicas de root (0:0). > > > > como dije en el last no aparece nada > > intente con "w" y nada, con finger y nada con who. > > > > en el /var/log/messages > > > > Apr 6 23:11:32 localhost mountd[281]: Unauthorized access by NFS client > > 209.142.70.23. > > > > sera esta la intrusion? > > > > y como lo hicieron, en verdad que me preocupa, al parecer no hizo nada, > > solo entro. > > pero me preocupa los datos sensibles que tengo aqui > > > > gracias > > >