Re: [Linux] Problema con una tarjeta de red

To: <linux en linux net mx>
Subject: Re: [Linux] Problema con una tarjeta de red
From: webmastercns en via-net-works com mx (Webmaster CNS)
Date: Sat, 19 Jan 2002 14:56:41 -0600
References: <5.0.2.1.2.20020118150954.02f4bad0@mail.vtr.net>
Reply-to: linux en linux net mx
Sender: owner-linux en linux net mx

Modo promiscuo ( a grandes rasgos ):
Las tarjetas de red por default solo aceptan los paquetes que van dirigidos hacia su ip o mac, sin embargo se puede configurar la tarjeta de red para que lea, no solo los paquetes que le corresponden, sino tambien los paquetes que van dirigidos a otras tarjetas de red, cual es el proposito de esto?, recordemos que la mayoria de la informacion viaja por red en texto plano, lo cual significaria que con una tarjeta en modo promiscuo podriamos monitoriar la actividad que exista entre otras dos tarjetas, por ejemplo: la tarjeta A esta en modo promiscuo y esta monitoreando la actividad que hay entre la tarjeta B y la tarjeta C, cuando la tarjeta B inicia una sesion de FTP hacia la tarjeta C, tanto el Usuario como el Password son enviados en texto plano, normalmente no habria problema si no fuera porque la tarjeta A puede ver y LEER tanto el usuario como el Password en texto plano, SIN NINGUNA ENCRIPTACION , y eventualmente podria entrar al servidor con ese Login. 

Como se activa el modo promiscuo de una tarjeta?:
bash$ ifconfig eth0 promisc

Como se desactiva el modo promiscuo?
bash$ ifconfig eth0 -promisc

para comprobar simplememte ejecuta lo siguiente:
bash$ ifconfig eth0

Sencillo no?

Ahora bien el modo promiscuo de la tarjeta de red no es mas que un sintoma de la actividad cracker, asi que yo te recomendaria que checaras los siguientes archivos:

/etc/rc.d/rc.local
/etc/rc.d/rc.sysinit

Estos archivos cargan programas al iniciar el sistema y muy probablemente tengan codigo para activar programas que no estas enterado, una recomendacion, checa los archivos con el comando cat,  ya que algunos crackers introducen unas 600 lineas en blanco y despues el codigo nocivo.

Otro archivo que habria que checar es:
/etc/conf.modules

En este archivo se cargan modulos externos, por ejemplo el de tu tarjeta de red, pero tambien muy probablemente un modulo cracker.

Otra recomendacion es que sustituyas el archivo:
/bin/login
ya que probablemente no sea el archivo original

No olvides checar todos los enlaces suaves que hagan referencia al directorio /etc/init.d apartir de Red Hat 7 o en /etc/rc.d/init.d en versiones anteriores

Si el ataque fue echo por cracker experto, probablemente no tengas registros de su actividad en tus archivos logs, en algunos casos estos archivos son borrados completamente.

Evidentemente es menos problematico reinstalar el S.O. pero te invito a que hagas el chequeo de tu sistema, cierto es que los crackers son una lata para los administradores, pero no podemos negar que si nos ponemos a investigar todo lo que hacen y como lo hacen, la verdad es que nos dejan un buen de conocimientos sobre nuestros S.O.

Por ultimo, te recomendaria que instalaras ssh y proftp , el primero es para sesiones telnet encriptadas ( de esta manera aunque monitoren la actividad de red lo unico que veran seran caracteres raros ) y proftpd te permite una amplia gama de configuraciones para hacer mas seguro tus sesiones de ftp, tambien te sugiero que configures los tcp-wrappers que vienen por default con redhat asi como el ipchains.

Saludos


----- Mensaje original ----- 
De: "Juan Reyes" <JJReyes en vtr net>
Para: <linux en linux net mx>
Enviado: Viernes, 18 de Enero de 2002 12:11 p.m.
Asunto: Re: [Linux] Problema con una tarjeta de red


Hola

Sacando la tarjeta de sonido, porque esta es la amante de la tarjeta de red
jerjejejejejeje  es una broma

¿ como fue que te hackearon la tarjeta, y que significa dejarla en modo 
promiscuo ?

Disculpa la pregunta, pero desconosco eso...
Si me puedes aclarar,...please..

[23:21 18/01/2002 -0600] Usted escribió:
>Buen dia
>
>Tengo un problema con un servidor con redhat 6.2, ya que lo hackearon y 
>dejaron la tarjeta en modo promiscuo. Como puedo arreglar esto?
>
>Gracias
>

Atentamente..
:-) JuanReyes

Web de Harbour....:..http://www.TodoHarbour.com
Proyecto Harbour..:..http://www.Harbour-Project.org
ICQ......................:..13186894
Mi email...............:..JuanReyes arroba iname.com



Lista de correo linux en linux net mx
Preguntas linux-owner en linux net mx
http://www.linux.net.mx/



Lista de correo linux en linux net mx
Preguntas linux-owner en linux net mx
http://www.linux.net.mx/

Mensaje(s) a continuación:
- RE: [Linux] Problema con una tarjeta de red
  - De: Jose M Santamaria
- RE: [Linux] Problema con una tarjeta de red
  - De: Mexwebspace

Referencias:
- Re: [Linux] Problema con una tarjeta de red
  - De: Juan Reyes

Previo por Fecha: Re: [Linux] Problema con una tarjeta de red
Siguiente por Fecha: RE: [Linux] Help !!!!!
Previo por Hilo: Re: [Linux] Problema con una tarjeta de red
Siguiente por Hilo: RE: [Linux] Problema con una tarjeta de red

[Hilos de Discusión] [Fecha] [Tema] [Autor]