[Previo por Fecha] [Siguiente por Fecha] [Previo por Hilo] [Siguiente por Hilo]
[Hilos de Discusión] [Fecha] [Tema] [Autor]A lo mejor parezco algo alarmista, pero allá voy... Eloy Espozo Espinoza wrote: > > Holas > > Aqui molestandoles de nuevo, lo que ahora pasa, es que desde hace unos > dias que tengo problemas con algunos comandos, ej. no me funcina el > who, w y comandos relacionados, solo muestra: > $w > 7:15pm up 10:18, 0 users, load average: 0.00, 0.00, 0.00 > USER TTY FROM LOGIN@ IDLE JCPU PCPU WHAT > $ > > y listo... Eso suena a que alguien te ha metido en la máquina un rootkit (conjuntos de programas que consisten, por ejemplo, en troyanizar los ps, ls, who y un huevo de comandos +, para que no funcionen correctamente -- de esta forma tú no ves los procesos del atacante, ni sus ficheros, ni nada). No obstante, la idea sería que los comandos parecieran funcionar correctamente. > > busque y busque la mayor infomracion que pude y no encontre nada, al mismo > tiempo me empezo a suceder algo extranio, algunas cuentas que estaban > creadas no se pueden accesar, revise todo lo que se me ocurrio y no > encontre ningun problema aparente, pense que no era nada tan importante y > que solo seria alguna cuestion de reinstalar lo que estaba mal y listo; > pero ahora me saque de onda al volver esta maniana a tratar de entrar con > mi cuenta y nada, trate con la de root y nada, entonces reinicie a la mala > la maquina y entre en modo single y al ver el archivo passwd, vaya > sorpresa solo tenia una linea, la primera de una archivo passwd comun, > despues de superar el susto me fije que (no se como) aparecio un archivo > passwd.bak donde estaba todo intacto lo cambie y todo funciono como antes, > es decir algunas cuentas no ingresan, etc.. Esto marea un poco la perdiz, porque no entiendo cómo ese supuesto atacante iba a petarse el passwd. > > Como veran ahora si estoy muy preocupado, y les pido por favor que me > indiquen > que es lo que puede haber pasado, que debo revisar, fui victima de un > ataque de algun hacker talvez?, > al revisar los logs solo encontre los siguientes mensajes: > > telnetd[13763]:ttloop:peer died: Invalid or incomplete multibyte or wide > character > > PAM_pwdb[13831]:1 authentication failure;(uid=0)->root for login service > > que significan estos mensajes? pueden afectar al archivo passwd? Pues hombre, yo no los conozco pero me parecen bastante sospechosos, además observad q se producen ambos con sólo 70 procesos de diferencia. > > Cualquier ayuda es bienvenida > > gravias de antemano > > un desesperado > > Eloy Espozo E. > U.C.B. En resumen: es *muy* curioso, xq algunas de las cosas que describes son típicas de niñato (los comandos troyanizados no funcionan, borra el archivo passwd lo cual delata su ataque...); sin embargo otras, como la limpieza de logs, sugieren que se trata de alguien con xperiencia en el tema. Podríamos plantear incluso un ataque llevado a cabo por dos o más personas desde diferentes ordenadores. Plantéate si alguien podría querer putearte, si tu máquina era segura, etc. (seriá interesante ver el inetd.conf). Puedes pasarte por el canal #netsearch en el irc hispano, se supone (y digo se supone) q se habla de seguridad; también puedes buscar información en nuestra página, que de momento (la estamos renovando) es http://members.xoom.com/lynux (sí, con Y de Yntel Ynsyde X'DDDDDDDDDDDDD). Un saludo Pope #NetSearch I+D