[Previo por Fecha] [Siguiente por Fecha] [Previo por Hilo] [Siguiente por Hilo]
[Hilos de Discusión] [Fecha] [Tema] [Autor]Enrique:
No sé cuales sean tus requerimientos de accesibilidad a esos equipos, pero
una buena opción y además muy sencilla, es instalar el
tcp-wrappers, con este puedes "controlar" el acceso a los puertos y
de que IPs.
Lo puedes encontrar en:
www.cert.org
Saludos.
At 09:34 p.m. 16/06/2001 -0500, you wrote:
>Tengo un superproblema con crackers. Actualmente tengo sistemas con Red
>Hat 6.2 . He bajado todas las actualizaciones de updates.redhat.com, y
>he instalado todas las actualizaciones antes de reintegrar mis equipos a
>la red. El cracker sigue logrando entrar a mis sistemas.
>
>He estado probando con Red Hat 7.1 pero es incompatible en el NFS con RH
>6.2, y dependo de este servicio para 14 equipos, y no tengo la certeza
>de que RH7.1 no sea vulnerable.
>
>Mando una muestra del /var/log/messages. En una máquina recién
>formateada, con todas las actualizaciones bajadas, tengo lo siguiente:
>
>---------------------------------------------
>
>
>Jun 16 17:56:14 havnor rpc.statd[373]: gethostbyname error for
>^X÷ÿ¿^X÷ÿ¿^Y÷ÿ¿^Y÷ÿ¿^Z÷ÿ¿^Z÷ÿ¿^[÷ÿ¿^[÷ÿ¿bffff750 8049710
>8052c28687465676274736f6d616e797265206520726f7220726f66
>bffff718
>bffff719
>bffff71a
>bffff71b
>Jun 16 17:56:57 havnor adduser[1460]: new group: name=ftpx, gid=735
>Jun 16 17:56:57 havnor adduser[1460]: new user: name=ftpx, uid=735,
>gid=735, home=/bin, shell=/bin/bash
>Jun 16 17:57:06 havnor adduser[1461]: new group: name=cgix, gid=736
>Jun 16 17:57:06 havnor adduser[1461]: new user: name=cgix, uid=0,
>gid=736, home=/bin, shell=/bin/bash
>Jun 16 17:57:35 havnor PAM_pwdb[1462]: password for (ftpx/735) changed
>by ((null)/0)
>Jun 16 17:58:04 havnor PAM_pwdb[1463]: password for (cgix/0) changed by
>((null)/0)
>
>
>-----------------
>
>Ninguna de las otras bitácoras tiene registro alguno de la intrusión, y
>no hay actividad alguna luego de este renglón. Por lo pronto, borré
>estos "usuarios" y con chattr hice inmodificables passwd, shadow y
>group.
>
>
>Otro de mis equipos, también actualizado, tengo algo similar:
>
>
>-----------------
>
>Jun 16 13:29:02 adun PAM_pwdb[2910]: (ssh) session closed for user root
>Jun 16 14:10:04 adun sshd[600]: log: Generating new 768 bit RSA key.
>Jun 16 14:10:05 adun sshd[600]: log: RSA key generation complete.
>Jun 16 17:55:34 adun rpc.statd[401]: gethostbyname error for
>^X÷ÿ¿^X÷ÿ¿^Y÷ÿ¿^Y÷ÿ¿^Z÷ÿ¿^Z÷ÿ¿^[÷ÿ¿^[÷ÿ¿%8x%8x%8x%8x%8x%8x%8x%8x%8x%236x%n%
137x%n%10x%n%192x%n^A°fÍ?³^D°fÍ?³^E0ÀA^D°fÍ??ÎÃ1É°?Í
>
>-------------------
>
>También es el último renglón. Ese mensaje de rpc.statd lo veo repetido a
>menudo desde hace un par de días hacia atrás, pero no parece haber
>ninguna otra anomalía. Ninguna otra bitácora muestra nada anormal
>(secure registra un par de entradas desde terminal local), y no hallo
>ningún archivo peculiar, ni tráfico, ni nada anormal.
>
>
>En estos equipos, antes que lo reformateara, llegaron a instalar un
>snifer. Ví las bitácoras generadas por el snifer oculto y no aparecen
>contraseñas más que para mi ruteador (para ver y no modificar ¿hay ssh
>para ruteadores cisco?) y un par de cuentas de correo.
>
>
>
>Agradezco de antemano cualquier sugerencia.
>
>- Enrique
>---------------------------------------------------------
>para salir de la lista, enviar un mensaje con las palabras
>"unsubscribe ayuda" en el cuerpo a majordomo en linux org mx
>
>
----------------------------------------
Juan Francisco Vázquez Jaime
---------------------------------------------------------
para salir de la lista, enviar un mensaje con las palabras
"unsubscribe ayuda" en el cuerpo a majordomo en linux org mx