[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Servidor COMPROMETIDO

que tal gente, les escribo para ver si me pueden dar una mano. Hoy a la mañana me di cuenta de que hubo actividad fuera de lo normal en el servidor de mi red (20 maquinas). Alguien NO AUTORIZADO estuvo en el sistema por NO SE cuanto tiempo y modifico muchas cuestiones comprometiendo TODA la red. Por ejemplo, seteo la placa de red para que cada vez que se levante lo haga en modo promiscuo, modifico archivos de configuracion para permitir su ingreso (SSH y FTP), oculto otros archivos cambiando dueños y permisos, y vaya uno a saber que mas. Lo primero que atine a hacer fue salvar los LOGS del sistema y algunos archivos para su posterior analisis, y despues reinstalar TODO el Servidor. De todos modos, por lo que pude ver, practicamente NO dejo rastros. Ya adverti a los usuarios para que cambien sus contraseñas. Lo que me gustaria saber, es que se hace en estos casos. Como puedo hacer para localizar al intruso???? Hay alguna manera de poner una especie de "trampa" para engañarlo y poder localizarlo??? Como puedo saber COMO hizo para entrar??? Que hago??? 
Bueno, muchas gracias......



_________________________________________________________________
Send and receive Hotmail on your mobile device: http://mobile.msn.com


--
To UNSUBSCRIBE, email to debian-user-spanish-request@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Reply to: