Re: Posible intrusión un server

[Juan Antonio <pushakk@limbo.ari.es>]

El 13/06/11 15:44, Alonso Caballero Quezada / ReYDeS escribió:
> Saludos:
> 
>>
>> Por otra parte, te recomiendan que reinstales sin saber si quiera el
>> alcance de la intrusión, yo no lo haría hasta estar seguro que te la
>> hayan metido hasta el fondo. Usa ps, lsof, netstat y demas para ver si
>> hay procesos anómalos ejecutándose y si no tienes tripwire usa lsattr
>> para buscar atributos que no deberían tener binarios del sistema como
>> ps, lsof, netstat, etc... suelen dejarlos como inmutables para que no
>> puedas sustituirlos.
> 
>   Creo que no se leyó o entendió bien esta recomendación, en primera
> instancia es realizar un forense de computadoras sobre el servidor o
> computadora comprometida para conocer el que, como, cuando, quien,
> etc, del incidente. Luego de lo cual se recomienda reinstalar todo el
> sistema, basando en los hallazgos de análisis forense; es obvio que de
> nada serviria reinstalar todo, y que el sistema quede en el estado
> cuando fue comprometido.
> 
>   Por otra parte, y es bueno recordarlo, la captura de evidencia se
> realizada con herramienta confiables, NO con las herramientas que
> estan en el sistema donde se suscitó el incidente.
> 
>  Atte:
> 


En realidad no se como lo hice pero dejé de entender buena parte del
correo. Sugerí que buscara la forma de ver que usuario había sido el
causante de la intrusión cuando él ya estaba pegando la salida del
history de root.

Lamento el malentendido.

Un saludo.

-- 
"Tanto en los deportes como en todo lo demás, soy un experto. Pero para
mantener viva mi inteligencia natural y fuera de serie, tengo que comer
mucho"