Re: "LOGS" DESCOMPUESTO:

To: Javier Rubio <jarubio en citi com mx>
Subject: Re: "LOGS" DESCOMPUESTO:
From: Sandino Araico Sánchez <sandino en simplemente net>
Date: Sat, 13 May 2000 21:55:14 -0500
Cc: luke en dns smai org mx, Lista de Linux <ayuda en linux org mx>
List-help: <mailto:ayuda-help@linux.org.mx>
List-post: <mailto:ayuda@linux.org.mx>
List-unsubscribe: <mailto:ayuda-unsubscribe@linux.org.mx>
Mailing-list: contact ayuda-help en linux org mx; run by ezmlm
Organization: Simplemente (http://simplemente.net) (http://tolstoi.styx.net)
References: <Pine.LNX.4.10.10005022311150.1119-100000@dns.smai.org.mx> <39106037.580CFABD@citi.com.mx>
Sender: sandino en lassie styx net

Javier Rubio wrote:

> Mira, antes de entrar en histeria tienes que analizar lo que te hicieron.
>
> Para empezar, para que sigas logeando tienes que crear los archivos messages y
> syslog nulos (touch /var/log/messages) y despues matar e iniciar de nuevo el
> proceso del syslogd.
>
> Revisa si quedaron los archivos .bash_history o sh_history o similares.....(no
> creo).
>
> Lo mas sano es que respaldes tu informacion , formatees el disco y reinstales
> todo de nuevo.
>
> Antes de conectar tu maquina a la red de nuevo , asegurate de cerrar bien
> todas las puertas.

Esto puede ser de gran ayuda para cerrar puertas:

cat /etc/inetd.conf | sed "s/^/#/g" > /etc/inetd.conf
/etc/rc.d/init.d/inet restart
man inetd

También esto:
http://tolstoi.styx.net/HOWTO/html/Security-HOWTO.html

Y te recomiendo que en lugar de telnet uses OpenSSH:
http://www.openssh.com/

Y que en vez del wu-ftpd uses proftpd
http://www.proftpd.net/

Y probablemente también quieras usar el gnu-pop3d en lugar del pop3d que viene
con el paquete imap de RedHat:
http://www.nodomainname.net/software/mailutils/

Y por último también te puede servir que tengas lo siguiente:
cd /home/yo/misdocs/de_la_escuela/
ln -s /var/log/messages DOCUMENT1.DOC
tail -f DOCUMENT1.DOC > DOCUMENT2.DOC

Y de esta manera te quedas con un respaldo de /var/log/messages para que después
de que te vuelvan a violar lo puedas analizar más a conciencia. Toma en cuenta
que /var/log/messages se actualiza frecuentemente, así que verifica que tengas
siempre funcionando tu respaldo con la versión más reciente.

Puedes hacer algo parecido con /root/.bash_history

Ah, y también actualiza tu bind a su versión más reciente:
http://www.isc.org/products/BIND/

>
>
> Saludos!
>
>

--
Sandino Araico Sánchez
Los guisados tienen una muy fuerte afinidad hacia la ropa blanca.




-- 
Para desuscribirse, mande correo a: ayuda-unsubscribe en linux org mx
Para comandos adicionales, envíelo a: ayuda-help en linux org mx

Referencias:
- "LOGS" DESCOMPUESTO:
  - De: luke
- Re: "LOGS" DESCOMPUESTO:
  - De: Javier Rubio

Previo por Fecha: Re: Unaligned trap... Sigo
Siguiente por Fecha: Re: XWindows !!!!
Previo por Hilo: Re: "LOGS" DESCOMPUESTO:
Siguiente por Hilo: Re: "LOGS" DESCOMPUESTO:

[Hilos de Discusión] [Fecha] [Tema] [Autor]