RE: [Linux] Problema con una tarjeta de red

To: <linux en linux net mx>
Subject: RE: [Linux] Problema con una tarjeta de red
From: "Mexwebspace" <info en mexwebspace com>
Date: Mon, 21 Jan 2002 17:28:21 -0600
Importance: Normal
In-reply-to: <002f01c1a12b$cc3e86c0$7201a8c0@infoacces.net>
Reply-to: linux en linux net mx
Sender: owner-linux en linux net mx

Checa en www.google.com "knark.o" y "modhide.o", es un rootkit, posiblemente
es el que te instalaron, aprenderas bastante con solo leer lo que hace.
Saludos!!!!!

******************************
*   Web Shop, S.A. de C.V.   *
*   Jorge F. Curioca López   *
*     jcurioca en net com mx    *
* Tels.-5536-5611 / 5536-5613*
******************************

-----Mensaje original-----
De: owner-linux en linux net mx [mailto:owner-linux en linux net mx]En nombre
de Webmaster CNS
Enviado el: Sábado, 19 de Enero de 2002 02:57 p.m.
Para: linux en linux net mx
Asunto: Re: [Linux] Problema con una tarjeta de red


Modo promiscuo ( a grandes rasgos ):
Las tarjetas de red por default solo aceptan los paquetes que van dirigidos
hacia su ip o mac, sin embargo se puede configurar la tarjeta de red para
que lea, no solo los paquetes que le corresponden, sino tambien los paquetes
que van dirigidos a otras tarjetas de red, cual es el proposito de esto?,
recordemos que la mayoria de la informacion viaja por red en texto plano, lo
cual significaria que con una tarjeta en modo promiscuo podriamos monitoriar
la actividad que exista entre otras dos tarjetas, por ejemplo: la tarjeta A
esta en modo promiscuo y esta monitoreando la actividad que hay entre la
tarjeta B y la tarjeta C, cuando la tarjeta B inicia una sesion de FTP hacia
la tarjeta C, tanto el Usuario como el Password son enviados en texto plano,
normalmente no habria problema si no fuera porque la tarjeta A puede ver y
LEER tanto el usuario como el Password en texto plano, SIN NINGUNA
ENCRIPTACION , y eventualmente podria entrar al servidor con ese Login.

Como se activa el modo promiscuo de una tarjeta?:
bash$ ifconfig eth0 promisc

Como se desactiva el modo promiscuo?
bash$ ifconfig eth0 -promisc

para comprobar simplememte ejecuta lo siguiente:
bash$ ifconfig eth0

Sencillo no?

Ahora bien el modo promiscuo de la tarjeta de red no es mas que un sintoma
de la actividad cracker, asi que yo te recomendaria que checaras los
siguientes archivos:

/etc/rc.d/rc.local
/etc/rc.d/rc.sysinit

Estos archivos cargan programas al iniciar el sistema y muy probablemente
tengan codigo para activar programas que no estas enterado, una
recomendacion, checa los archivos con el comando cat,  ya que algunos
crackers introducen unas 600 lineas en blanco y despues el codigo nocivo.

Otro archivo que habria que checar es:
/etc/conf.modules

En este archivo se cargan modulos externos, por ejemplo el de tu tarjeta de
red, pero tambien muy probablemente un modulo cracker.

Otra recomendacion es que sustituyas el archivo:
/bin/login
ya que probablemente no sea el archivo original

No olvides checar todos los enlaces suaves que hagan referencia al
directorio /etc/init.d apartir de Red Hat 7 o en /etc/rc.d/init.d en
versiones anteriores

Si el ataque fue echo por cracker experto, probablemente no tengas registros
de su actividad en tus archivos logs, en algunos casos estos archivos son
borrados completamente.

Evidentemente es menos problematico reinstalar el S.O. pero te invito a que
hagas el chequeo de tu sistema, cierto es que los crackers son una lata para
los administradores, pero no podemos negar que si nos ponemos a investigar
todo lo que hacen y como lo hacen, la verdad es que nos dejan un buen de
conocimientos sobre nuestros S.O.

Por ultimo, te recomendaria que instalaras ssh y proftp , el primero es para
sesiones telnet encriptadas ( de esta manera aunque monitoren la actividad
de red lo unico que veran seran caracteres raros ) y proftpd te permite una
amplia gama de configuraciones para hacer mas seguro tus sesiones de ftp,
tambien te sugiero que configures los tcp-wrappers que vienen por default
con redhat asi como el ipchains.

Saludos


----- Mensaje original -----
De: "Juan Reyes" <JJReyes en vtr net>
Para: <linux en linux net mx>
Enviado: Viernes, 18 de Enero de 2002 12:11 p.m.
Asunto: Re: [Linux] Problema con una tarjeta de red


Hola

Sacando la tarjeta de sonido, porque esta es la amante de la tarjeta de red
jerjejejejejeje  es una broma

¿ como fue que te hackearon la tarjeta, y que significa dejarla en modo
promiscuo ?

Disculpa la pregunta, pero desconosco eso...
Si me puedes aclarar,...please..

[23:21 18/01/2002 -0600] Usted escribió:
>Buen dia
>
>Tengo un problema con un servidor con redhat 6.2, ya que lo hackearon y
>dejaron la tarjeta en modo promiscuo. Como puedo arreglar esto?
>
>Gracias
>

Atentamente..
:-) JuanReyes

Web de Harbour....:..http://www.TodoHarbour.com
Proyecto Harbour..:..http://www.Harbour-Project.org
ICQ......................:..13186894
Mi email...............:..JuanReyes arroba iname.com



Lista de correo linux en linux net mx
Preguntas linux-owner en linux net mx
http://www.linux.net.mx/



Lista de correo linux en linux net mx
Preguntas linux-owner en linux net mx
http://www.linux.net.mx/


Lista de correo linux en linux net mx
Preguntas linux-owner en linux net mx
http://www.linux.net.mx/

Referencias:
- Re: [Linux] Problema con una tarjeta de red
  - De: Webmaster CNS

Previo por Fecha: Re: [Linux] Sobre PGP
Siguiente por Fecha: [Linux] Bind
Previo por Hilo: Re: [Linux] Problema con una tarjeta de red
Siguiente por Hilo: Re: [Linux] Problema con una tarjeta de red

[Hilos de Discusión] [Fecha] [Tema] [Autor]