Re: Ayuda por favor..........

To: Luis Gomez Miralles -Pope- <l gomez en ctv es>
Subject: Re: Ayuda por favor..........
From: ecantu en axtel com mx
Date: Sun, 19 Sep 1999 10:17:11 -0500
Cc: Eloy Espozo Espinoza <eloy en ns ucb edu bo>, l-linux en calvo teleco ulpgc es, linux-ayuda en nuclecu unam mx, linux-scu en csd uo edu cu, linux en hades udg es
Sender: owner-linux-ayuda en nuclecu unam mx


mmmm...interesante, yo creo que si se tratan de algunos troyanos, checa las
archivos ps, who, login y ls, checa las fechas que concuerden con la misma fecha
con lade los demas archivos bases que se instalan cuando pones tu server por
primeravez, por cierto el login troyano crea un usuario que al entrar entras
como root y cuando das el who no parece ese usuario el login de ese usuario es
qwerty, pero no recuerdo el password, pero como te digo checa las fechas si las
fechas son diferentes creo que si tienes un problema con algunos Crackers, y no
con hackers...en fin espero te sirva de algo..saludos

                                  Edgar Cantú
                       Information Technology, Operations
                            Tels: 1141484 y 1141470
                          E-mail: ecantu en axtel com mx




Luis Gomez Miralles -Pope- <l gomez en ctv es> on 09/16/99 05:10:38 AM

To:   Eloy Espozo Espinoza <eloy en ns ucb edu bo>
cc:   l-linux en calvo teleco ulpgc es, linux-ayuda en nuclecu unam mx,
      linux-scu en csd uo edu cu, linux en hades udg es (bcc: Edgar
      Cantu/SW/MTY/TELINOR)
Subject:  Re: Ayuda por favor..........




     A lo mejor parezco algo alarmista, pero allá voy...

Eloy Espozo Espinoza wrote:
>
> Holas
>
> Aqui molestandoles de nuevo, lo que ahora pasa, es que desde hace unos
> dias que tengo problemas con algunos comandos, ej. no me funcina el
> who, w y comandos relacionados, solo muestra:
> $w
>   7:15pm  up 10:18,  0 users,  load average: 0.00, 0.00, 0.00
> USER     TTY      FROM              LOGIN@   IDLE   JCPU   PCPU  WHAT
> $
>
> y listo...

     Eso suena a que alguien te ha metido en la máquina un rootkit
(conjuntos de programas que consisten, por ejemplo, en troyanizar los
ps, ls, who y un huevo de comandos +, para que no funcionen
correctamente -- de esta forma tú no ves los procesos del atacante, ni
sus ficheros, ni nada). No obstante, la idea sería que los comandos
parecieran funcionar correctamente.

>
> busque y busque la mayor infomracion que pude y no encontre nada, al mismo
> tiempo me empezo a suceder algo extranio, algunas cuentas que estaban
> creadas no se pueden accesar, revise todo lo que se me ocurrio y no
> encontre ningun problema aparente, pense que no era nada tan importante y
> que solo seria alguna cuestion de reinstalar lo que estaba mal y listo;
> pero ahora me saque de onda al volver esta maniana a tratar de entrar con
> mi cuenta y nada, trate con la de root y nada, entonces reinicie a la mala
> la maquina y entre en modo single y al ver el archivo passwd, vaya
> sorpresa solo tenia una linea, la primera de una archivo passwd comun,
> despues de superar el susto me fije que (no se como) aparecio un archivo
> passwd.bak donde estaba todo intacto lo cambie y todo funciono como antes,
> es decir algunas cuentas no ingresan, etc..

     Esto marea un poco la perdiz, porque no entiendo cómo ese supuesto
atacante iba a petarse el passwd.

>
> Como veran ahora si estoy muy preocupado, y les pido por favor que me
> indiquen
> que es lo que puede haber pasado, que debo revisar, fui victima de un
> ataque de algun hacker talvez?,
> al revisar los logs solo encontre los siguientes mensajes:
>
> telnetd[13763]:ttloop:peer died: Invalid or incomplete multibyte or wide
> character
>
> PAM_pwdb[13831]:1 authentication failure;(uid=0)->root for login service
>
> que significan estos mensajes? pueden afectar al archivo passwd?

     Pues hombre, yo no los conozco pero me parecen bastante sospechosos,
además observad q se producen ambos con sólo 70 procesos de diferencia.
>
> Cualquier ayuda es bienvenida
>
> gravias de antemano
>
> un desesperado
>
> Eloy Espozo E.
> U.C.B.

     En resumen: es *muy* curioso, xq algunas de las cosas que describes son
típicas de niñato (los comandos troyanizados no funcionan, borra el
archivo passwd lo cual delata su ataque...); sin embargo otras, como la
limpieza de logs, sugieren que se trata de alguien con xperiencia en el
tema. Podríamos plantear incluso un ataque llevado a cabo por dos o más
personas desde diferentes ordenadores. Plantéate si alguien podría
querer putearte, si tu máquina era segura, etc. (seriá interesante ver
el inetd.conf). Puedes pasarte por el canal #netsearch en el irc
hispano, se supone (y digo se supone) q se habla de seguridad; también
puedes buscar información en nuestra página, que de momento (la estamos
renovando) es http://members.xoom.com/lynux (sí, con Y de Yntel Ynsyde
X'DDDDDDDDDDDDD).

Un saludo

     Pope
     #NetSearch I+D

Previo por Fecha: Re: (usar dos discos duros)
Siguiente por Fecha: Re: que quemadora??
Previo por Hilo: Re: Ayuda por favor..........
Siguiente por Hilo: IP-Masquerade con proxy

[Hilos de Discusión] [Fecha] [Tema] [Autor]