[Previo por Fecha] [Siguiente por Fecha] [Previo por Hilo] [Siguiente por Hilo]
[Hilos de Discusión] [Fecha] [Tema] [Autor]1. SIEMPRE es mejor usar ssh en vez de telnet.
2. ten tu password en shadow
3. piensa en poner un sistema de logs mas avansado, por ejemplo un servidor
de logs, que lo unico que va a hacer es capturar logs de toda la red y
almacenarlo, ponlo bajo OpenBSD o un linux configurado con la seguridad
maxima (nada de servicios remotos, nada de compiladores ni utilerias,
administracion solo en consola, igual y que inmprima el log en una impresora
de matriz de punto, pero eso ya es exceso). Ta tecnologia de implementacin
de una cosa asi no la conozco, igual y alguen de aqui.
4. definitivamente es bueno investigar la direcion de correo del
administrador de ese servidor que fue usado como trampolin para que lo
limpie y a ver si asi das con el intruso.
----- Original Message -----
From: Ing. Alexandro Conde Mtz <acm en fonetworld com>
To: <linux en pepe net mx>
Sent: Thursday, December 14, 2000 12:46 PM
Subject: [Sop.Tec.LinuxPPP] SSH ?? en lugar de Telnet ??
> Hola Lista:
>
> El pasado Sabado encontre un intruso en mi sistema, afortunadamente no
hizo
> nada malo y lo encontre justo a tiempo para sacarlo y bloquear el server
en
> lo que revisaba que hizo, detecte que quiso instalar un par de programas,
> uno llamado mysql.c que al parecer es para capturar los passwords del
> sistema y otro llamado gnomelib.c que no logro determinar que hace pero al
> final del programa tiene este comando: printf("\n- --( ExPLoIT
DoNE )-- -\n");
>
> alguno de ustedes sabe para que es o me puede decir donde averiguarlo ??
>
> El intruso fue bastante habil pues elimino los logs y puso una linea para
> iniciar el capturador de passwords en el rc.local que ya elimine, dentro
de
> la cuenta de usuario que se creo, vi el history del bash, y trato de bajar
> software de algunos sitios con el lynx, tengo la direccion Ip de donde se
> metio y por el momento la tengo bloqueada con una ruta a la interface
loopback.
>
> Lo interesante es que la direccion de donde se conecto es un linux con un
> kernel mas viejo (2.0.36) que el mio (2.2.16) y con un ftp con problemas
de
> seguridad (wu-2.4.2), por lo que creo que lo usaron de trampolin, por lo
> que quiero proteger mi sistema.
>
> Ya hice una revision de mi sistema con el ess-0.8.6 para ver por donde
> entro, y me di cuenta que tenia habilitado el ftp con la version
> wu-2.6.0(1) y con acceso anonimo, no he encontrado que tenga algun
problema
> de seguridad pero aun asi ya lo bloquee completamente deshabilitando el
ftp
> en el initd.conf, pero cuando lo detecte el intruso estaba conectado por
> telnet, por lo que un conocido me sugirio tambien bloquear el telnet y
usar
> el ssh, mi pregunta aqui es si tienen alguna sugerencia o recomendacion al
> respecto, ya que actualmente yo administro el server con un telnet, y no
> quiero que me tomen por sorpresa de nuevo.
>
> Saludos a todos y gracias por sus comentarios.
>
> P.D. El server esta funcionando como firewall con ipchains y como cache
con
> el squid.
>
>
> Mensaje sin acentos
>
> Ing. Alexandro Conde Martinez ---------> Alcon
> Gerente de Tecnologia, Fonet Technologies
> mailto:acm en fonetworld com <http://fonetworld.com>
> ICQ# 6269259 Tel:+52 (4) 242-04-22 Ext. 115
> Stop Spam: http://www.cauce.org
>
> ---------------------------------------------------------------------
> Lista de soporte de LinuxPPP
> Reglas de la lista en http://pepe.net.mx/reglas.html
>
---------------------------------------------------------------------
Lista de soporte de LinuxPPP
Reglas de la lista en http://pepe.net.mx/reglas.html