[Previo por Fecha] [Siguiente por Fecha] [Previo por Hilo] [Siguiente por Hilo]
[Hilos de Discusión] [Fecha] [Tema] [Autor]Hola, como dice Alexander lo primero es revisar tus bitacoras, y buscar por cadenas raras, por lo que mencionas al parecer instalaron un rootkit en tu sistema, por lo que modificaron varios de tus binarios, lo que tendrias que hacer es reinstalar el sistema completo, si tienes conciencia de cuando entraron en tu sistema pordrias tomar uno de los ultimos respaldos que no estan comprometidos. Te recomiendo que veas los accesos, quien se convertia en root, desde donde se conectaban, etc, aunque normalemete los rootkits borran toda huella y vacian las bitacoras. Hay una herramienta que nunca he probado, pero se ve que te puede ayudar con tu problema, ya que busca por donde pudieron haber entrado y busca huellas que haya dejado el intruso, esta se llama "The Coroner's Toolkit" la desarrollo Wietse Venema y Dan Farmer y se encuentra en: http://www.porcupine.org/forensics/ Creo que en un principio te va a costar un poco de meterte en esta herramienta, pero despues podras ver buenos resultados, por lo que menciona que hace la herramienta. Adicional a esto puedes contactar al CERT UNAM (Equipo de respuesta a incidentes de Computo, para que hagan una analisis mas detallado de tu sistema. Esto lo puedes hacer en: http://www.asc.unam.mx/ Espero te sirvan estos datos. Saludos!!! On Tue, 4 Dec 2001, Alexander Kouznetsov wrote: > Revisa (por si acaso) los logs. > Buscas basura (rastro de un buffer overflow) y huecos (si el intruso los > limpio, debe de haber, aunque estos huecos son bastante dificiles de > detectar) > Ya estaban cerrados tus servicios desde antes? Un intruso habil podria tapar > los hoyos despues de obtener root. > Sospechas de algun interno? un usuario de la misma subred, que haya podidod > poner un sniffer en otra maquina o adivinar el password de root. > Algun programa binario que hayas bajado/instalado desde algun lugar raro? > > ----- Original Message ----- > From: "Sergio" <sergio en psa com mx> > To: <linux en linuxppp com> > Sent: Tuesday, December 04, 2001 8:44 AM > Subject: Re: [Sop.Tec.LinuxPPP] Re: consumo de memoria. > > > > Que onda: > > > > Sabia que lo ibas a contestar asi, por eso hasta me inspire mas al > escribir el choro mareador. > > > > No esta abierto, el ftp, esta cerrado via tcp-warppers, y via ipchains > ademas. > > > > El portmap esta cerrado asi como el nfs, y niega las conecciones tanto via > tcwrappers y via ipchains. > > > > Por eso es lo raro del asunto, que sera ??? > > > > saludos. > > cHeKo=) > > > > > > On Tue, 4 Dec 2001 10:54:36 -0600 (MXC) > > Jose Antonio Galicia <jcgalici en cbbanorte com mx> wrote: > > > > > On Tue, 4 Dec 2001, Sergio wrote: > > > > > > > de lo acostumbrado.(que pirado choro me lanze me cae =) > > > > > > Ay no maaaaaaaaaa............ > > > > > > > La pregunta obligada entonces es por donde se pudieron meter??? > > > > sugerencias???. Yo pienso que alguien snifeo a alguien qu estaba > > > > descaragando software, o algo, y fue capaz de generar un paquete > > > > > > ¿Esta abierto el ftp y usas wu-ftp? ¿NFS? > > > > > > > Ademas los binarios cambiados, no pueden ser borrados > > > > por root, ni actualizados por otros originales, el error > > > > es: > > > > > > # man chattr > > > > > > Saludos, > > > Toño > > > --- > > > Many pages make a thick book, except for pocket Bibles which are on very > > > very thin paper. > > > > > > --------------------------------------------------------------------- > > > Lista de soporte de LinuxPPP > > > Reglas de la lista en http://linuxppp.com/reglas.html > > --------------------------------------------------------------------- > > Lista de soporte de LinuxPPP > > Reglas de la lista en http://linuxppp.com/reglas.html > > > > --------------------------------------------------------------------- > Lista de soporte de LinuxPPP > Reglas de la lista en http://linuxppp.com/reglas.html > --------------------------------------------------------------------- Lista de soporte de LinuxPPP Reglas de la lista en http://linuxppp.com/reglas.html