Re: Servidor COMPROMETIDO (extenso ...)

To: "Clark Kent" <clark_kent100@hotmail.com>, <debian-user-spanish@lists.debian.org>
Subject: Re: Servidor COMPROMETIDO (extenso ...)
From: "Fernando R" <ricchifer@ciudad.com.ar>
Date: Tue, 21 May 2002 17:35:16 -0300
Message-id: <[🔎] 034001c20107$04f59f40$5f55010a@LocalHost>
References: <[🔎] F73RL25AExgTVxPTi6800001bfa@hotmail.com>

----- Original Message -----
From: "Clark Kent" <clark_kent100@hotmail.com>
Subject: Servidor COMPROMETIDO
> que tal gente, les escribo para ver si me pueden dar una mano. Hoy a la
> mañana me di cuenta de que hubo actividad fuera de lo normal en el
servidor
> de mi red (20 maquinas). Alguien NO AUTORIZADO estuvo en el sistema por NO
> SE cuanto tiempo y modifico muchas cuestiones comprometiendo TODA la red.
> Por ejemplo, seteo la placa de red para que cada vez que se levante lo
haga
> en modo promiscuo, modifico archivos de configuracion para permitir su
> ingreso (SSH y FTP), oculto otros archivos cambiando dueños y permisos, y
> vaya uno a saber que mas. Lo primero que atine a hacer fue salvar los LOGS
> del sistema y algunos archivos para su posterior analisis, y despues
> reinstalar TODO el Servidor. De todos modos, por lo que pude ver,
> practicamente NO dejo rastros. Ya adverti a los usuarios para que cambien
> sus contraseñas. Lo que me gustaria saber, es que se hace en estos casos.
> Como puedo hacer para localizar al intruso???? Hay alguna manera de poner
> una especie de "trampa" para engañarlo y poder localizarlo??? Como puedo
> saber COMO hizo para entrar??? Que hago???
> Bueno, muchas gracias......
>

distro?
actualizada?

Lo lindo hubiera sido guardar todo tal cual para estudiar como pensaba
volver
este fulano, por donde, etc. Lastima que ya formateaste todo y ahora no
sabremos "como entro" ...

Si no sabes como entro, quien te tranquiliza ahora que no volvera?

Sabian que el proftpd de potato configurado por default es vulnerable a DOS?
No digo que esa sea la puerta de ingreso pero, esto del proftpd lo vivi en
carne
propia, entonces pienso, sera debian tan segura como uno cree?
Hay alguna lista dedicada a la seguridad de debian?

Esta es la version de potato (actualizada al dia de hoy)
ProFTPD 1.2.0pre10

Esto lo tuve que agregar en la configuracion para no permitir el DOS
# By Fernando - Thanks MiTo
DenyFilter /\*/\.\.
# End By Fernando - Thanks MiTo

De no poner esta linea en la configuracion hace que un tipo conectado con
acceso anonimo me ocupe toda la swap en poco tiempo con este simple
comando:
ftp> ls */../*/../*/../*/../*/../*/../*/../*/../*/../*/../*/../*/../*

Esto a mi me preocupa.
Uno tiene que estar al tanto de que es lo que esta gente descubre ya que
con instalar y configurar no alcanza...

Bueno, si alguien quiere comentar alguna experiencia, a mi me interesa este
tema (aunque no se si es el lugar ideal para hablarlo).

Saludos
Fernando

-- 
To UNSUBSCRIBE, email to debian-user-spanish-request@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

Reply to:

Follow-Ups:
- Re: Servidor COMPROMETIDO (extenso ...)
  - From: Enzo Dari <darie@cab.cnea.gov.ar>

References:
- Servidor COMPROMETIDO
  - From: "Clark Kent" <clark_kent100@hotmail.com>

Prev by Date: Re: Primera instalacion: Arreglillos
Next by Date: ¿Intrusos en mi servidor?
Previous by thread: Servidor COMPROMETIDO
Next by thread: Re: Servidor COMPROMETIDO (extenso ...)
Index(es):
- Date
- Thread