[Previo por Fecha] [Siguiente por Fecha] [Previo por Hilo] [Siguiente por Hilo]
[Hilos de Discusión] [Fecha] [Tema] [Autor]Pues ahi va el informe: Pues el dia 29 de nov, por la mañana, la mencionada sujeta fue ultrajada, y perdio su virginidad que tan afanosamente habia conservado despues de un año de produccion. Antes habia recibido insinuaciones sucias de que se dejara pero tcp-wrappers y ipchains le habian protegido, era habitual que los logs reportaran muchos refused a telnet, finger, ftp. Desde su nacimiento aprendio a no hablar con desconocidos. No se quejaba , quiza le daba pena, o no sabia que era esa experiencia por la que habia pasado, se comportaba de manera casi normal. De repente empezo a callar y dejo de hablar con el mundo exterior, su enlace a internet dejo de escuchar y de hablar. Cayo en la depre y empezo a comer mas memoria de lo acostumbrado.(que pirado choro me lanze me cae =) En serio que por eso en lo ultimo que pense fue que la maquina se habia comprometido, ya que operaba mas o menos normal, pero los sintomas no me gustaron mucho entonces, empezo la revision. Como resolucion, no queda mas que cerrar todos los puertos, por que queda el aviso, lastima por los que usan, sus chunches inecesarios que solo abren puertos. El problema es que por mas que les dices acerca de la seguridad aveces no lo entienden por mas argumentos que das, si no que hasta que les pasa la experiencia, a ver si asi ya me hacen mas caso, es que decian, que para que los queria bloquear , que luego no iban poder entrar a no se donde y cosas por el estilo. La pregunta obligada entonces es por donde se pudieron meter??? sugerencias???. Yo pienso que alguien snifeo a alguien qu estaba descaragando software, o algo, y fue capaz de generar un paquete promiscuo que le dio acceso. Quiza fue hecho con un programa que hizo todo en automatico, y nada mas, digo por que si ya estas adentro de la maquina, pues te matas al ipchais, y cambias /etc/hosts.allow y deny y te das acceso por otro servicio, es mas te creas un usuario, y si ya estas adentro, pues te borras archivos, y dejas totalmente inservible la maquina. Las huellas de sus agresor son las siguientes: Aparece el comando /usr/bin/shad, el cual desconozco, el cual aparece en el la ejecucion de /etc/rc.d/init.d/functions, ahi se llama a sshd. Fueron generadas, en etc/ssh. Los comandos ps, top, ls fueron sustituidos, asi como /etc/rc.d/rc.sysinit, /etc/rc.d/init.d/functions, /etc/rc.d/init.d/syslog y etc/rc.d/init.d/inet Fueron creados en /usr/local dos carpetas con nombres y ubicaciones sospechosas, son /usr/local/games /usr/local/sbin Ademas los binarios cambiados, no pueden ser borrados por root, ni actualizados por otros originales, el error es: [root@servidor3 /]# rm -Rf /bin/ls rm: cannot unlink `/bin/ls': Operation not permitted y ademas aun teniendo permiso de escritura no se pueden reeditar. Sugerencias y comentarios al respecto por favor, se agredece de antemano. Saludos cHeKo=) On Mon, 03 Dec 2001 22:41:34 GMT "Leopoldo Santiago" <lsantiago en wstation com> wrote: > Lo que comentas es una característica clásica > de que una máquina ha sido comprometida. > Si ps y top no reportan nada es porque > fueron sustituidos por otros programas. > > Si tienes otro maquina con la misma versión > del sistema operativo, copia ps y top a tu directorio > personal y ejecutalos usando ./ps -ef o ./top > Y en ahí sabras que proceso extraño está ejecutandose. > > Luego revisa los script de inicio. Revisa en el directorio > /etc/rc.d los archivos: rc, rc.local, rc.sysinit. Y comparalos > contra los originales. > > Tambien revisa todos los script en /etc/rc.d/init.d > > Si tienes instalado tripwire, ejecuta tripwire --check > y ve que archivos han cambiado y si puedes sustituyelos por > los originales. > > Pero la recomendación mas segura es que actualices tu sistema > operativo. > > Ojala resuelvas pronto tu problema. > > > > Sergio writes: > > > Revisando hoy una maquina, acabo de ver un comportamiento algo extraño, pues sucede > > que esta maquina esta ocupando toda la memoria ram, dicha maquina nunca lo habia reportado. > > > > Esta maquina esta como servidor, y solo tiene levantado, sendmail, apache, bind, ipchains, > > y pues se me hace extraño que se acabe los 128 de ram con estos servicios. ANteriormente estaba > > reportando un uso de 30 a 40 de ram, con estos servicio, y pues se me hace anormal. > > > > Reinicie la maquina y sigue asi, y lo mas raro es que ps aux, y top, no reportan procesos > > que esten consumiendo los recursos de mas. > > > > Alguien tiene alguna experiencia o sugerencia al respecto. > > > > saludos > > cHeKo=) > > --------------------------------------------------------------------- > > Lista de soporte de LinuxPPP > > Reglas de la lista en http://linuxppp.com/reglas.html > > --------------------------------------------------------------------- > Lista de soporte de LinuxPPP > Reglas de la lista en http://linuxppp.com/reglas.html --------------------------------------------------------------------- Lista de soporte de LinuxPPP Reglas de la lista en http://linuxppp.com/reglas.html