[Previo por Fecha] [Siguiente por Fecha] [Previo por Hilo] [Siguiente por Hilo]
[Hilos de Discusión] [Fecha] [Tema] [Autor]Definitivamente tuviste (o hasta sigues teniendo) un intruso. lo que hay que hacer es: 1. desconectar la maquina en cuestión físicamente de cualquier red. 2. respaldar todos los datos que no quieras perder (bases de datos, archivos de configuración, archivos que no sean parte del sistema, los logs, etc.) 3. Revisar los logs. Si tienes respaldos de logs anteriores, también revisalos, para saber por donde te violaron. Si no ves nada raro en los logs significa que el intruso fue suficientemente inteligente como para borra sus rastros, o que fue alguien que sabia la contraseña de root de antemano. Si fue un hoyo en un servicio, que te enseñe a revisar los bugtracks, si fue un intruso interno tal vez necesites revisar las políticas del depto de sistemas. 4. Formatear el disco y reinstalar el sistema de 0 (los respaldos de sistema pueden estar comprometidos también, no seria fiable usarlos), luego recuperar los datos y la configuración, probar que todo funcione bien. 5. Hacer una auditoria de seguridad de tu red (firewall, políticas, permisos de los usuarios, etc.) y tal vez tener un log detallado de accesos por un tiempo, a ver si el intruso regresa, lo ubicas y podamos ir a agandallarlo. Atte. Alexander Gerente de sistemas Bregusa Internacional SA. de CV www.dasmico.com.mx tel. (52) 5 677 2343 fax (52) 5 684 3728 ----- Original Message ----- From: "Vladimir Melendez :." <vmelendez en vianetworks com mx> To: <linux en linux net mx> Cc: "Alejandro Mendez Hinojosa" <Windows/CARTERO/AMENDEZ en vianetworks com mx> Sent: Monday, September 17, 2001 3:02 PM Subject: [Linux] pregunta un poco paranoica > he tenido unas incidencias en algunas maquiinas en mi site, en maquinas > linux 6.2 ( dos ) y una free BSD , ademas de dos maquinas redhat 6.1 , el > problema lo tratare de describir lo mas apegado a la realidad : > > tengo mas de 50 maquinas en linux , y otras tantas en NT , solo he tnido > esta bronca en las cinco mencionadas , la consola luce " normal " con el > clasico "login" > cuando trato de logearme , al darle el login , me regresa el "login" solo > puedo entrar a la maquina en modo single user , ya como single user en el > prompt de bash# > puedo cambiar de directorio pero al darle un comando como por ej "ls" o > tratar de copiar a cinta o a otro directorio con "cp" o con "mv" me manda > un mensaje de > > Core Dumped > > o de > > Segmentation fault > > se que mis datos estan ahi , he sacado ese disco duro , y lo Monto en otro > Linux con mount , y puedo sacar la informacion. > > lo curioso del asunto es que solo es en la particion y/o el disco duro que > tiene el sistema operativo , pues en un servidro tenia , el sistema > operativo en un disco (hda) y los datos en otro (hdb ) > > la intecion del presente correo es saber si a alguin mas le ha estado > pasando esto , como dato extra , las maquinas afectadas , tenian tcp > wrapers y accesaba por SSH > > si alguin puede aportar algo o bien se interesa por este caso , agradesco > se pongan en contacto con un servidor > > es cuanto. > > Vladimir Melendez Garcia :. > Hostmaster > VIA NET.WORKS MEXICO > TEL. 5629 8199 Ext. 5168 > Pager Sky 5325699 > Icq 49359598 > www.vianetworks.com.mx > vmelendez en vianetworks com mx > > > "La informacion transmitida en el presente mensaje tiene la intencion de > estar dirigida unicamente a la persona o entidad que se refiere y puede > contener informacion privilegiada y/o confidencial. Cualquier, revision, > retransmision, diseminacion o cualquier uso impropio o relacionado con > dicha informacion por persona alguna distinta a la que fue dirigido este > mensaje queda estrictamente prohibido. Si Usted ha recibido este mensaje o > sus anexos por error, favor de contactar al remitente y elimine el material > de cualquier computadora." > > > > Lista de correo linux en linux net mx > Preguntas linux-owner en linux net mx > http://www.linux.net.mx/ > Lista de correo linux en linux net mx Preguntas linux-owner en linux net mx http://www.linux.net.mx/