Servidor COMPROMETIDO
que tal gente, les escribo para ver si me pueden dar una mano. Hoy a la
mañana me di cuenta de que hubo actividad fuera de lo normal en el servidor
de mi red (20 maquinas). Alguien NO AUTORIZADO estuvo en el sistema por NO
SE cuanto tiempo y modifico muchas cuestiones comprometiendo TODA la red.
Por ejemplo, seteo la placa de red para que cada vez que se levante lo haga
en modo promiscuo, modifico archivos de configuracion para permitir su
ingreso (SSH y FTP), oculto otros archivos cambiando dueños y permisos, y
vaya uno a saber que mas. Lo primero que atine a hacer fue salvar los LOGS
del sistema y algunos archivos para su posterior analisis, y despues
reinstalar TODO el Servidor. De todos modos, por lo que pude ver,
practicamente NO dejo rastros. Ya adverti a los usuarios para que cambien
sus contraseñas. Lo que me gustaria saber, es que se hace en estos casos.
Como puedo hacer para localizar al intruso???? Hay alguna manera de poner
una especie de "trampa" para engañarlo y poder localizarlo??? Como puedo
saber COMO hizo para entrar??? Que hago???
Bueno, muchas gracias......
_________________________________________________________________
Send and receive Hotmail on your mobile device: http://mobile.msn.com
--
To UNSUBSCRIBE, email to debian-user-spanish-request@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Reply to: