Re: un intruso en mi server

To: gonzalo en telser com pe
Subject: Re: un intruso en mi server
From: Gerardo Herrera Tenorio <gherrera en tuxnet net mx>
Date: Thu, 21 Dec 2000 12:13:37 -0600 (CST)
Cc: ayuda en linux org mx
In-reply-to: <200012211637.LAA02722@proxy.telser.com.pe>
Sender: owner-ayuda en linux org mx

No lo sospeches............ entraron a tu server.



--------------------------------------------------------------------
Gerardo Herrera Tenorio
Depto. de Seguridad y Redes		Sientase libre, use LINUX!!
TuxneT Proveedor de Internet
--------------------------------------------------------------------
Para algunos es solo un SixPack ..... Para mi es un grupo de apoyo!!

On Thu, 21 Dec 2000 gonzalo en telser com pe wrote:

> Hola a todos:
> 
> Tengo la sospecha de que alguien se está metiendo en mi 
> servidor. He encontrado dos cuentas nuevas que yo no 
> las he creado: punky y carlitos. Revisando 
> el /var/log/messages encontré lo siguiente:
> 
> Dec 18 21:06:42 oinap useradd[18407]: new group: 
> name=punky, gid=585
> Dec 18 21:06:42 oinap useradd[18407]: new user: 
> name=punky, uid=585, gid=585, home=/home/punky, 
> shell=/bin/bash
> 
> Dec 18 21:07:26 oinap PAM_pwdb[18410]: password for 
> (punky/585) changed by ((null)/0)
> Dec 19 02:09:26 oinap ftpd[18415]: ANONYMOUS FTP LOGIN 
> FROM iowahapkido.org [205.218.89.190], ~P~P~P~P~P~P~P~P~
> P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~
> ~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~
> P~P~P~P~P~P1À1Û1É°FÍ~@1À1ÛC~IÙA°?
> Í~@ëk^1À1É~M^^A~HF^Df¹ÿ^A°'Í~@1À~M^^A°
> =Í~@1À1Û~M^^H~IC^B1ÉþÉ1À~M^^H°^LÍ~@þÉuó1
> À~HF^I~M^^H°=Í~@þ^N°
> 0þÈ~HF^D1À~HF^G~Iv^H~IF^L~Ió~MN^H~MV^L°^KÍ~@1À1Û°
> ^AÍ~@è~Pÿÿÿ0bin0sh1..11
> Dec 18 21:10:19 oinap useradd[18422]: new group: 
> name=carlitos, gid=586
> Dec 18 21:10:19 oinap useradd[18422]: new user: 
> name=carlitos, uid=586, gid=586, home=/home/carlitos, 
> shell=/bi
> n/bash
> Dec 18 21:10:41 oinap PAM_pwdb[18423]: password for 
> (carlitos/586) changed by ((null)/0)
> 
> No aparece quien cambia el password a estos 
> usuario.¿debo suponer de que se han estado metiendo 
> desde ese dominio iowahapkido.org [205.218.89.190]? 
> ¿por donde han entrado y que debo hacer para proteger 
> mi server?
> 
> Uso el Redhat 6.2. Tengo configurado el tcpwrappers, 
> que permite hacer telnet desde los equipos que yo he 
> autorizado. Tambien tengo restringido el servicio ftp 
> para algunos pocos usuarios
> 
> Una ayudadita por favor
> 
> gracias
> 
> Gonzalo
> ---------------------------------------------------------
> para salir de la lista, enviar un mensaje con las palabras
> "unsubscribe ayuda" en el cuerpo a majordomo en linux org mx
> 

---------------------------------------------------------
para salir de la lista, enviar un mensaje con las palabras
"unsubscribe ayuda" en el cuerpo a majordomo en linux org mx

Referencias:
- un intruso en mi server
  - De: gonzalo

Previo por Fecha: Re: un intruso en mi server
Siguiente por Fecha: ayuda con proxus
Previo por Hilo: Re: un intruso en mi server
Siguiente por Hilo: Re: un intruso en mi server

[Hilos de Discusión] [Fecha] [Tema] [Autor]