¿Reinstalar binarios sin perder configuraciones? (creo que me han hackeado)

To: <debian-user-spanish@lists.debian.org>
Subject: ¿Reinstalar binarios sin perder configuraciones? (creo que me han hackeado)
From: Carles Pina i Estany <is08139@salleURL.edu>
Date: Sat, 18 Nov 2000 15:10:05 +0000 (GMT)
Message-id: <[🔎] Pine.LNX.4.30.0011181509510.31749-100000@vela.salleURL.edu>


Hola

Mira si te han colado un root kit... los he visto, hay que son una
currada, cambian algunos binarios para que no los puedas detectar; pero el
que yo vi era el "t0rn" (que no hay quien lo encuentra en la red, si
alguien lo tiene que me lo pasa para ver exactamente que hace) que es un
derivado de lrk5 o lkr5 (linux root kit 5, creo)...

la única forma casi de verlo fue con lsof, tant ps, ls, top, estaba
modificados

despues he visto que haciendo algo como ls -- asfañsdf (no me acuerdo)
enseñaba lo bueno

tambien ponia un sniffer de ssh y otras cosas (puertas traseras, etc.)



On Sat, 18 Nov 2000, Manel Marin wrote:

> Hola a todos,
>
> ¿Hay alguna forma de que dselect, dpkg o apt reinstalen todos los binarios
>  desde los discos de Potato sin perder configuraciones y sin borrarlo todo?
>
> Bueno creo que (quiero equivocarme) me han hackeado un PC cliente Linux...
>
>
> MORALEJAS:
> Ya estoy probando el snort para detectar intrusiones
> A partir de ahora cerraré servicios en los clientes
> ¿Tripwire hasta en los clientes...?
>
>
> PORQUE CREO QUE ME HAN HACKEADO:
> Me he dado cuenta por algunos errores con drivers que llevaban meses
> funcionando bien...
>
> El kernel vmlinuz-2.2.17 tiene exactamente el mismo tamaño que el "de serie"
> de Potato pero el md5sum es diferente, el disco no tiene errores, y un "cmp -l"
> contra el bueno no para de dar diferencias :-( no es un bit juguetón )
>
> En ese PC no actualizo con apt y estoy casi seguro que solo instalé Potato
> inestable en casa
>
> Lo que me despista es que gran cantidad de archivos del sistema estan fechados
> como 29 Ago 11:57 (lo miro desde el mc) incluyendo los directorios /usr/bin,
> /usr/doc, /usr/lib...
> Cuando en otro sistema limpio todos son fecha 25 Jun 02:16
> Los archivos del CD de la espiral tienen fecha 9 sep 04:50 (y el kernel tampoco
> coincide...)
>
>
> COMO CREO QUE LO HICIERON:
> 1) pensé que la seguridad no era muy importante en un cliente asi que no cerré
> los servicios que se instalan de serie (entre ellos telnet)
> 2) por negligencia por mi parte he usado el mismo password para usuario y root
> que el de la cuenta de correo POP3 que circula en texto plano por la red cada
> vez que accedo al correo (jo que fallo, les he regalado el password)
>
> Lo peor es que si han llegado al cliente seguramente también han hackeado el
> servidor :-((((
>
> No he sabido ver ningún rastro más, si realmente me han hackeado ha sido uno
> bueno, joer "cambiazo de kernel" que pasada :-OOOOOOO
>
> Porfa decidme que estoy equivocado...
>
>
> Saludos,
> --
> -------------------------------------------------
> Manel Marin   e-mail: manel3@apdo.com
> Linux Powered (Debian 2.2 potato)  kernel 2.2.17
>
> Mira mis chuletas de Linux en  http://perso.wanadoo.es/manel3
> -------------------------------------------------
> Mi petición de drivers para Linux es la nº 33126
>  (Pasate por http://www.libranet.com/petition.html ;-)
>
>
> --
> Unsubscribe?  mail -s unsubscribe debian-user-spanish-request@lists.debian.org < /dev/null
>

----
Carles Pina i Estany
   E-Mail: cpina@linuxfan.com || #ICQ: 14446118 || Nick: Pinux / Pine
   http://www.libralinux.com/petition.spanish.html
   URL: http://www.salleurl.edu/~is08139
   Si quieres usar Windows a más velocidad... tiralo desde más alto.

Reply to:

Prev by Date: Re: Puerto 6000 del X11
Next by Date: Re: ¿Reinstalar binarios sin perder configuraciones? (creo que me han hackeado)
Previous by thread: Re: ?Reinstalar binarios sin perder configuraciones? (creo que me han hackeado)
Next by thread: Tenga Su Sitio Web al Mejor Costo
Index(es):
- Date
- Thread