[Previo por Fecha] [Siguiente por Fecha] [Previo por Hilo] [Siguiente por Hilo]
[Hilos de Discusión] [Fecha] [Tema] [Autor]nuestro amigo Enrique Strada nos ilustro con esto : Modo promiscuo ( a grandes rasgos ): Las tarjetas de red por default solo aceptan los paquetes que van dirigidos hacia su ip o mac, sin embargo se puede configurar la tarjeta de red para que lea, no solo los paquetes que le corresponden, sino tambien los paquetes que van dirigidos a otras tarjetas de red, cual es el proposito de esto?, recordemos que la mayoria de la informacion viaja por red en texto plano, lo cual significaria que con una tarjeta en modo promiscuo podriamos monitoriar la actividad que exista entre otras dos tarjetas, por ejemplo: la tarjeta A esta en modo promiscuo y esta monitoreando la actividad que hay entre la tarjeta B y la tarjeta C, cuando la tarjeta B inicia una sesion de FTP hacia la tarjeta C, tanto el Usuario como el Password son enviados en texto plano, normalmente no habria problema si no fuera porque la tarjeta A puede ver y LEER tanto el usuario como el Password en texto plano, SIN NINGUNA ENCRIPTACION , y eventualmente podria entrar al servidor con ese Login. Como se activa el modo promiscuo de una tarjeta?: bash$ ifconfig eth0 promisc Como se desactiva el modo promiscuo? bash$ ifconfig eth0 -promisc para comprobar simplememte ejecuta lo siguiente: bash$ ifconfig eth0 Sencillo no? Ahora bien el modo promiscuo de la tarjeta de red no es mas que un sintoma de la actividad cracker, asi que yo te recomendaria que checaras los siguientes archivos: /etc/rc.d/rc.local /etc/rc.d/rc.sysinit Estos archivos cargan programas al iniciar el sistema y muy probablemente tengan codigo para activar programas que no estas enterado, una recomendacion, checa los archivos con el comando cat, ya que algunos crackers introducen unas 600 lineas en blanco y despues el codigo nocivo. Otro archivo que habria que checar es: /etc/conf.modules En este archivo se cargan modulos externos, por ejemplo el de tu tarjeta de red, pero tambien muy probablemente un modulo cracker. Otra recomendacion es que sustituyas el archivo: /bin/login ya que probablemente no sea el archivo original No olvides checar todos los enlaces suaves que hagan referencia al directorio /etc/init.d apartir de Red Hat 7 o en /etc/rc.d/init.d en versiones anteriores Si el ataque fue echo por cracker experto, probablemente no tengas registros de su actividad en tus archivos logs, en algunos casos estos archivos son borrados completamente. Evidentemente es menos problematico reinstalar el S.O. pero te invito a que hagas el chequeo de tu sistema, cierto es que los crackers son una lata para los administradores, pero no podemos negar que si nos ponemos a investigar todo lo que hacen y como lo hacen, la verdad es que nos dejan un buen de conocimientos sobre nuestros S.O. Por ultimo, te recomendaria que instalaras ssh y proftp , el primero es para sesiones telnet encriptadas ( de esta manera aunque monitoren la actividad de red lo unico que veran seran caracteres raros ) y proftpd te permite una amplia gama de configuraciones para hacer mas seguro tus sesiones de ftp, tambien te sugiero que configures los tcp-wrappers que vienen por default con redhat asi como el ipchains. Saludos Vladimir Melendez Garcia :. Hostmaster VIA NET.WORKS MEXICO Tel. Directo (52) 5629 8132 Pager SkyTel PIN 5325699 Icq 49359598 vmelendez en vianetworks com mx www.vianetworks.com.mx << Pensar, Analizar, Inventar, no son actos anomalos, son la normal respiracion de la Inteligencia. >> ---J.L.Borges --- "La informacion transmitida en el presente mensaje tiene la intencion de estar dirigida unicamente a la persona o entidad que se refiere y puede contener informacion privilegiada y/o confidencial. Cualquier, revision, retransmision, diseminacion o cualquier uso impropio o relacionado con dicha informacion por persona alguna distinta a la que fue dirigido este mensaje queda estrictamente prohibido. Si Usted ha recibido este mensaje o sus anexos por error, favor de contactar al remitente y elimine el material de cualquier computadora." -----Original Message----- From: julio cesar sanchez gonzalez [SMTP:juliocesar_dark en hotmail com] Sent: Friday, February 15, 2002 5:46 PM To: linux en linux net mx Subject: Re: [Linux] Problema con una tarjeta de red con ifconfig >From: Nelson Nunez <nnunez en directo cl> >Reply-To: linux en linux net mx >To: linux en linux net mx >Subject: Re: [Linux] Problema con una tarjeta de red >Date: Fri, 18 Jan 2002 17:41:01 -0600 > >Ve tu logs... y nos cuentas. >/var/log/ > >Salu2, Nelson. > > > >At 03:11 p.m. 18/01/02 -0300, you wrote: >>Hola >> >>Sacando la tarjeta de sonido, porque esta es la amante de la tarjeta de >>red >>jerjejejejejeje es una broma >> >>? como fue que te hackearon la tarjeta, y que significa dejarla en modo >>promiscuo ? >> >>Disculpa la pregunta, pero desconosco eso... >>Si me puedes aclarar,...please.. >> >>[23:21 18/01/2002 -0600] Usted escribio: >>>Buen dia >>> >>>Tengo un problema con un servidor con redhat 6.2, ya que lo hackearon y >>>dejaron la tarjeta en modo promiscuo. Como puedo arreglar esto? >>> >>>Gracias >> >>Atentamente.. >>:-) JuanReyes >> >>Web de Harbour....:..http://www.TodoHarbour.com >>Proyecto Harbour..:..http://www.Harbour-Project.org >>ICQ......................:..13186894 >>Mi email...............:..JuanReyes arroba iname.com >> >> >> >>Lista de correo linux en linux net mx >>Preguntas linux-owner en linux net mx >>http://www.linux.net.mx/ > > >Lista de correo linux en linux net mx >Preguntas linux-owner en linux net mx >http://www.linux.net.mx/ _________________________________________________________________ MSN Photos is the easiest way to share and print your photos: http://photos.msn.com/support/worldwide.aspx Lista de correo linux en linux net mx Preguntas linux-owner en linux net mx http://www.linux.net.mx/ Lista de correo linux en linux net mx Preguntas linux-owner en linux net mx http://www.linux.net.mx/