[Previo por Fecha] [Siguiente por Fecha] [Previo por Hilo] [Siguiente por Hilo]
[Hilos de Discusión] [Fecha] [Tema] [Autor]On Wed, 20 Dec 2000, Mauricio Santos Alvarez wrote: > > > -----Mensaje original----- > De: Mauricio Santos Alvarez [mailto:mauricio en mvs com mx] > Enviado el: martes 19 de diciembre de 2000 20:19 > Para: 'linux en pepe net mx' > Asunto: problema de bash? > > Hola a todos espero puedan ayudarme con el siguiente problema: > tengo un linux redhat6.1 kernel 2.2.12 y cuando le doy el comando setup > aparecen todos los servicios pero > ninguno esta seleccionado,ninguno de los que se corren habitualmente. > Cuando le doy history, solo aparecen 2 o 3 de los ultimos comandos que he > corrido > Cuando le doy top me manda lo siguiente : > > bad data in /var/run/utmp(null)[root@mauricio /root]# > > A parti de la ultima linea le doy exit y aparece despues del # logout y me > envia al home del usuario con el que me conecte via telnet. > Me hace lo mismo cuando trabajo localmente en la consola > > Necesito me ayuden a solucionar este problema 1. Esta es una lista para LinuxPPP. Aunque LinuxPPP es derivado de RedHat, NO son lo mismo. De cualquier forma, necesitas ayuda, porque tienes un problema grave. 2. Lamento informate que la seguridad de tu servidor ha sido comprometida. Estas utilizando una version de RedHat no tan nueva (6.1) y seguramente no has instalado ninguna o muy pocas de las actualizaciones disponibles en http://www.redhat.com/errata Además, la version del nucleo que estas empleando (2.2.12) es INSEGURA: contiene una vulnerabilidad bien conocida explotable de forma remota. Esto es evidente por el 'history' de bash alterado y los datos corruptos en /var/run/utmp (archivo que registra los ultimos accesos a tu maquina). Tambien te conectas via telnet para acceder a root! Es casi una invitacion a 'crackear' tu servidor. 3. La medicina es amarga: desconecta tu servidor de la red, respalda la informacion de las cuentas de los usuarios (/home, /var/spool/mail), datos de configuracion, y de los servicios que utilices, y restauralos en un servidor NUEVO con todas las actualizaciones previamente instaladas, y con programas monitores de seguridad. Tendras que formatear el servidor 'crackeado', a menos que sepas como hacer un analisis post-ataque, o que alguien por aqui este interesado en hacerlo. Si cuentas con otros servidores, tendras que ponerlos tambien fuera de linea y revisarlos a conciencia: si se apoderaron de uno, no es dificil que lo utilicen de trampolin para acceder a los demas, ya sea dentro de tu sitio o fuera de el. Ya no uses telnet, utiliza SSH, u OpenSSH. La administracion de cualquier sistema operativo no se limita a instalar y configurar los servicios: tambien consiste en dar mantenimiento de hardware y sofware, monitoreo de su operacion, ademas de evaluar e instalar las actualizaciones disponibles para el mismo. "Si ves las barbas de tu vecino caer, pon las tuyas a remojar". Cuantos suscriptores a esta lista utilizan en produccion un nucleo de version anterior a la 2.2.16? La version de su servidor de nombres (named) es anterior a 8.2.2_P7? La version de apache (servidor web) es anterior a 1.3.14? Tienen Netscape instalado y es version anterior a 4.76? Usan el servidor de ftp wu-ftpd y es anterior a 2.6.0? Todos los programas anteriores tienen por lo menos una forma de explotacion remota en versiones anteriores a las mostradas. Y estoy omitiendo los programas vulnerables en forma local, que son mas aun. Paranoico? Tal vez. Pero trabajo menos en resucitar servidores comprometidos por desconocidos, y puedo enfocarme en mejorar y/o aumentar los servicios ofrecidos. Saludos -- (o- Cristian Othon Martinez Vera <cfuga en itam mx> Pulchrum est paucorum //\ http://eniac.rhon.itam.mx/~cfuga/ hominum. v_/_ --------------------------------------------------------------------- Lista de soporte de LinuxPPP Reglas de la lista en http://pepe.net.mx/reglas.html