RE: Servidor COMPROMETIDO
Hola a todos!
En relación con este tema, ¿cómo se puede hacer para
tener un checksum de los paquetes debian y sus componentes para
comprobar si se han modificado ficheros por un posible
hacker?
Saludos,
Agustin
>
> On 21-May-2002 Clark Kent wrote:
> > que tal gente, les escribo para ver si me pueden dar una mano. Hoy a la
> > mañana me di cuenta de que hubo actividad fuera de lo normal en el servidor
> > de mi red (20 maquinas). Alguien NO AUTORIZADO estuvo en el sistema por NO
> > SE cuanto tiempo y modifico muchas cuestiones comprometiendo TODA la red.
> > Por ejemplo, seteo la placa de red para que cada vez que se levante lo haga
> > en modo promiscuo, modifico archivos de configuracion para permitir su
> > ingreso (SSH y FTP), oculto otros archivos cambiando dueños y permisos, y
> > vaya uno a saber que mas. Lo primero que atine a hacer fue salvar los LOGS
> > del sistema y algunos archivos para su posterior analisis, y despues
> > reinstalar TODO el Servidor. De todos modos, por lo que pude ver,
> > practicamente NO dejo rastros. Ya adverti a los usuarios para que cambien
> > sus contraseñas. Lo que me gustaria saber, es que se hace en estos casos.
> > Como puedo hacer para localizar al intruso???? Hay alguna manera de poner
> > una especie de "trampa" para engañarlo y poder localizarlo??? Como puedo
> > saber COMO hizo para entrar??? Que hago???
> > Bueno, muchas gracias......
> >
>
> Para localizar al intruso, necesitas algo aunque sea minima, de informacion de
> logging. Si dices que los has salvado miralos con cuidado, analizando todas la
> IPs que aparecen. Si tienes un sistema con varias maquinas, mira todos los logs
> de todas puesto que si usas NIS/LDAP o similar o con un tiempo que haya estado
> con el sniffer ( para eso pone tu tarjeta en modo promiscuo ) ha podido pillar
> passwords de otros sistemas.
>
> Existen formas de logear imborrables como grabar toda la info de log
> directamente en un CD o que salga por impresora. No necesitas hacerlo de toda,
> puedes hacer un filtro de todas las IPs que acceden y que syslog lo escriba en
> /dev/lp0 directamente. Para cuando fuera a borrar el log, este ya estaria
> impreso. Un truco bastante trivial pero que deja sin recursos (si es que
> tienen) a algunos listillos script-kiddies, es fijar tu directorio /var/log con
> el atributo de extfs "inmutable" (si usas ext2/ext3, claro esta) :
>
> # chattr -R +i /var/log
>
> Tengo alguna experiencia y la mayoria de veces dejan pistas. Mira el history
> del bash, comprueba los servicios que tenias activos y si hay xploits
> conocidos, si usas tcp-wrappers, acota la entrada por sitios determinados .
> Tambien la politica de contraseñas suele ser la causa mas habitual
> de ataques.
>
> Usas tripwire ? Te ayudara a saber que han hecho en tu sistema, que han
> cambiado. Tambien puedes comprobar todos los checksum de los paquetes deb.Te
> cuento cosas bastante basicas que posiblemente ya sepas pero que a veces se
> pasan por alto.
>
> Si quieres molestarte mas ( y perder algo de tiempo ) puedes ponerle un
> sistema trampa, de forma que ciertos servicios a ciertas IPs se direccionen a
> otro sistema que hayas preparado para la captura de info del sujeto. Aqui ya
> entra tus ganas y habilidad.
>
> Un saludo. Pedro.
>
> > _________________________________________________________________
> > Send and receive Hotmail on your mobile device: http://mobile.msn.com
> >
> >
> > --
> > To UNSUBSCRIBE, email to debian-user-spanish-request@lists.debian.org
> > with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
>
> -----------------------------------------------
> E-Mail: Pedro Bados <pedrobados@eresmas.net>
> Date: 22-May-2002
> -----------------------------------------------
>
>
> --
> To UNSUBSCRIBE, email to debian-user-spanish-request@lists.debian.org
> with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
>
>
--
======================================================
| Jose Agustin Lopez Bueno |
| E-Mail: Agustin.Lopez@uv.es |
| Home Page: http://www.uv.es/~lopezj/ |
| http://www.uv.es/postman/ |
| Tfnos: +34-6-3864310 +34-6-3983129 |
| Fax: +34-6-3864200 |
| Servicio de Informatica, Univ. de Valencia, Spain |
======================================================
--
To UNSUBSCRIBE, email to debian-user-spanish-request@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Reply to: