[Previo por Fecha] [Siguiente por Fecha] [Previo por Hilo] [Siguiente por Hilo]
[Hilos de Discusión] [Fecha] [Tema] [Autor]"Henry K." wrote: > > Hola > > Si realmente ´rpm -qa | grep apache´ no envia nada, ahora mi pregunta es > como podria saber quien lo desinstalo o como pudo ser desinstalado y se > puede cuando, todavia el viernes tuve acceso a el y esto es realmente > precupante. ¿está esa máquina conectada al internet permanentemente? ¿te habrán crackeado? si el cracker fué novato pudo haber dejado rastros en el .bash_history, dale un `grep "rpm -e"` .bash_history a ver si lo dá, obviamente debió de haber sido alguien usando root, buscate los accesos en el /var/log/messages del viernes en adelante, y buscate si hubo conexiones de web y hasta qué día fueron, búscate si los logs están discontinuos (osea que le falten algunas horas) si estás crackeado busca algun archivo que se llame lrk.tar o lrk.tar.gz o lrk.tgz, o nombres de sub-directorios como "..." (sí tres puntos) ultimadamente solo root puede ejecutar un rpm -e tus medidas dependerán de cómo se usa tu máquina y que mas hizo tu intruso si es que éste existió. ¿no tienes un autorpm corriendo que haya afectado automáticamente tu sistema? híjole es que hay mil preguntas que se pueden hacer. -- José Neif Jury Fabre pepeneif en pepe net mx http://pepe.net.mx/~pepeneif "Contrary to popular opinion, Unix is user friendly, It just happens to be very selective about who it makes friends with."