[Previo por Fecha] [Siguiente por Fecha] [Previo por Hilo] [Siguiente por Hilo]
[Hilos de Discusión] [Fecha] [Tema] [Autor]mmmm...interesante, yo creo que si se tratan de algunos troyanos, checa las archivos ps, who, login y ls, checa las fechas que concuerden con la misma fecha con lade los demas archivos bases que se instalan cuando pones tu server por primeravez, por cierto el login troyano crea un usuario que al entrar entras como root y cuando das el who no parece ese usuario el login de ese usuario es qwerty, pero no recuerdo el password, pero como te digo checa las fechas si las fechas son diferentes creo que si tienes un problema con algunos Crackers, y no con hackers...en fin espero te sirva de algo..saludos Edgar Cantú Information Technology, Operations Tels: 1141484 y 1141470 E-mail: ecantu en axtel com mx Luis Gomez Miralles -Pope- <l gomez en ctv es> on 09/16/99 05:10:38 AM To: Eloy Espozo Espinoza <eloy en ns ucb edu bo> cc: l-linux en calvo teleco ulpgc es, linux-ayuda en nuclecu unam mx, linux-scu en csd uo edu cu, linux en hades udg es (bcc: Edgar Cantu/SW/MTY/TELINOR) Subject: Re: Ayuda por favor.......... A lo mejor parezco algo alarmista, pero allá voy... Eloy Espozo Espinoza wrote: > > Holas > > Aqui molestandoles de nuevo, lo que ahora pasa, es que desde hace unos > dias que tengo problemas con algunos comandos, ej. no me funcina el > who, w y comandos relacionados, solo muestra: > $w > 7:15pm up 10:18, 0 users, load average: 0.00, 0.00, 0.00 > USER TTY FROM LOGIN@ IDLE JCPU PCPU WHAT > $ > > y listo... Eso suena a que alguien te ha metido en la máquina un rootkit (conjuntos de programas que consisten, por ejemplo, en troyanizar los ps, ls, who y un huevo de comandos +, para que no funcionen correctamente -- de esta forma tú no ves los procesos del atacante, ni sus ficheros, ni nada). No obstante, la idea sería que los comandos parecieran funcionar correctamente. > > busque y busque la mayor infomracion que pude y no encontre nada, al mismo > tiempo me empezo a suceder algo extranio, algunas cuentas que estaban > creadas no se pueden accesar, revise todo lo que se me ocurrio y no > encontre ningun problema aparente, pense que no era nada tan importante y > que solo seria alguna cuestion de reinstalar lo que estaba mal y listo; > pero ahora me saque de onda al volver esta maniana a tratar de entrar con > mi cuenta y nada, trate con la de root y nada, entonces reinicie a la mala > la maquina y entre en modo single y al ver el archivo passwd, vaya > sorpresa solo tenia una linea, la primera de una archivo passwd comun, > despues de superar el susto me fije que (no se como) aparecio un archivo > passwd.bak donde estaba todo intacto lo cambie y todo funciono como antes, > es decir algunas cuentas no ingresan, etc.. Esto marea un poco la perdiz, porque no entiendo cómo ese supuesto atacante iba a petarse el passwd. > > Como veran ahora si estoy muy preocupado, y les pido por favor que me > indiquen > que es lo que puede haber pasado, que debo revisar, fui victima de un > ataque de algun hacker talvez?, > al revisar los logs solo encontre los siguientes mensajes: > > telnetd[13763]:ttloop:peer died: Invalid or incomplete multibyte or wide > character > > PAM_pwdb[13831]:1 authentication failure;(uid=0)->root for login service > > que significan estos mensajes? pueden afectar al archivo passwd? Pues hombre, yo no los conozco pero me parecen bastante sospechosos, además observad q se producen ambos con sólo 70 procesos de diferencia. > > Cualquier ayuda es bienvenida > > gravias de antemano > > un desesperado > > Eloy Espozo E. > U.C.B. En resumen: es *muy* curioso, xq algunas de las cosas que describes son típicas de niñato (los comandos troyanizados no funcionan, borra el archivo passwd lo cual delata su ataque...); sin embargo otras, como la limpieza de logs, sugieren que se trata de alguien con xperiencia en el tema. Podríamos plantear incluso un ataque llevado a cabo por dos o más personas desde diferentes ordenadores. Plantéate si alguien podría querer putearte, si tu máquina era segura, etc. (seriá interesante ver el inetd.conf). Puedes pasarte por el canal #netsearch en el irc hispano, se supone (y digo se supone) q se habla de seguridad; también puedes buscar información en nuestra página, que de momento (la estamos renovando) es http://members.xoom.com/lynux (sí, con Y de Yntel Ynsyde X'DDDDDDDDDDDDD). Un saludo Pope #NetSearch I+D