[Previo por Fecha] [Siguiente por Fecha] [Previo por Hilo] [Siguiente por Hilo]
[Hilos de Discusión] [Fecha] [Tema] [Autor]puedes hacer una regla con ipchains si dependes totalmente del nfs o si quieres upgradea tu redhat. Esto no permitira ver ese puerto desde fuera y no permitira conexiones. ipchains -A output -i eth0 -p tcp -s tu.ip.add.ress 111 -d 0.0.0.0/0 -j DENY Quoting \"Enrique A. Sanchez N.\" <enrique en cisa net mx>: > Tengo un superproblema con crackers. Actualmente tengo sistemas con Red > Hat 6.2 . He bajado todas las actualizaciones de updates.redhat.com, y > he instalado todas las actualizaciones antes de reintegrar mis equipos a > la red. El cracker sigue logrando entrar a mis sistemas. > > He estado probando con Red Hat 7.1 pero es incompatible en el NFS con RH > 6.2, y dependo de este servicio para 14 equipos, y no tengo la certeza > de que RH7.1 no sea vulnerable. > > Mando una muestra del /var/log/messages. En una máquina recién > formateada, con todas las actualizaciones bajadas, tengo lo siguiente: > > --------------------------------------------- > > > Jun 16 17:56:14 havnor rpc.statd[373]: gethostbyname error for > ^X÷ÿ¿^X÷ÿ¿^Y÷ÿ¿^Y÷ÿ¿^Z÷ÿ¿^Z÷ÿ¿^[÷ÿ¿^[÷ÿ¿bffff750 8049710 > 8052c28687465676274736f6d616e797265206520726f7220726f66 > bffff718 > bffff719 > bffff71a > bffff71b > Jun 16 17:56:57 havnor adduser[1460]: new group: name=ftpx, gid=735 > Jun 16 17:56:57 havnor adduser[1460]: new user: name=ftpx, uid=735, > gid=735, home=/bin, shell=/bin/bash > Jun 16 17:57:06 havnor adduser[1461]: new group: name=cgix, gid=736 > Jun 16 17:57:06 havnor adduser[1461]: new user: name=cgix, uid=0, > gid=736, home=/bin, shell=/bin/bash > Jun 16 17:57:35 havnor PAM_pwdb[1462]: password for (ftpx/735) changed > by ((null)/0) > Jun 16 17:58:04 havnor PAM_pwdb[1463]: password for (cgix/0) changed by > ((null)/0) > > > ----------------- > > Ninguna de las otras bitácoras tiene registro alguno de la intrusión, y > no hay actividad alguna luego de este renglón. Por lo pronto, borré > estos \"usuarios\" y con chattr hice inmodificables passwd, shadow y > group. > > > Otro de mis equipos, también actualizado, tengo algo similar: > > > ----------------- > > Jun 16 13:29:02 adun PAM_pwdb[2910]: (ssh) session closed for user root > Jun 16 14:10:04 adun sshd[600]: log: Generating new 768 bit RSA key. > Jun 16 14:10:05 adun sshd[600]: log: RSA key generation complete. > Jun 16 17:55:34 adun rpc.statd[401]: gethostbyname error for > ^X÷ÿ¿^X÷ÿ¿^Y÷ÿ¿^Y÷ÿ¿^Z÷ÿ¿^Z÷ÿ¿^[÷ÿ¿^[÷ÿ¿%8x%8x%8x%8x%8x% 8x%8x%8x%8x%236x%n%137x%n%10x%n%192x%n^A°fÍ?³^D°fÍ?³^E0À A^D°fÍ??ÎÃ1É°?Í > > ------------------- > > También es el último renglón. Ese mensaje de rpc.statd lo veo repetido a > menudo desde hace un par de días hacia atrás, pero no parece haber > ninguna otra anomalía. Ninguna otra bitácora muestra nada anormal > (secure registra un par de entradas desde terminal local), y no hallo > ningún archivo peculiar, ni tráfico, ni nada anormal. > > > En estos equipos, antes que lo reformateara, llegaron a instalar un > snifer. Ví las bitácoras generadas por el snifer oculto y no aparecen > contraseñas más que para mi ruteador (para ver y no modificar ¿hay ssh > para ruteadores cisco?) y un par de cuentas de correo. > > > > Agradezco de antemano cualquier sugerencia. > > - Enrique > -------------------------------------------------------- - > para salir de la lista, enviar un mensaje con las palabras > \"unsubscribe ayuda\" en el cuerpo a majordomo en linux org mx > --------------------------------------------------------- para salir de la lista, enviar un mensaje con las palabras "unsubscribe ayuda" en el cuerpo a majordomo en linux org mx