RE: Servidor COMPROMETIDO

To: debian-user-spanish@lists.debian.org
Subject: RE: Servidor COMPROMETIDO
From: <Agustin.Lopez@uv.es>
Date: Wed, 22 May 2002 09:39:30 +0200 (CEST)
Message-id: <[🔎] 5299951668lopezj@uv.es>

Hola a todos!

En relación con este tema, ¿cómo se puede hacer para
tener un checksum de los paquetes debian y sus componentes para
comprobar si se han modificado ficheros por un posible
hacker?

Saludos,
Agustin


> 
> On 21-May-2002 Clark Kent wrote:
> > que tal gente, les escribo para ver si me pueden dar una mano. Hoy a la 
> > mañana me di cuenta de que hubo actividad fuera de lo normal en el servidor 
> > de mi red (20 maquinas). Alguien NO AUTORIZADO estuvo en el sistema por NO 
> > SE cuanto tiempo y modifico muchas cuestiones comprometiendo TODA la red. 
> > Por ejemplo, seteo la placa de red para que cada vez que se levante lo haga 
> > en modo promiscuo, modifico archivos de configuracion para permitir su 
> > ingreso (SSH y FTP), oculto otros archivos cambiando dueños y permisos, y 
> > vaya uno a saber que mas. Lo primero que atine a hacer fue salvar los LOGS 
> > del sistema y algunos archivos para su posterior analisis, y despues 
> > reinstalar TODO el Servidor. De todos modos, por lo que pude ver, 
> > practicamente NO dejo rastros. Ya adverti a los usuarios para que cambien 
> > sus contraseñas. Lo que me gustaria saber, es que se hace en estos casos. 
> > Como puedo hacer para localizar al intruso???? Hay alguna manera de poner 
> > una especie de "trampa" para engañarlo y poder localizarlo??? Como puedo 
> > saber COMO hizo para entrar??? Que hago???
> > Bueno, muchas gracias......
> > 
> 
> Para localizar al intruso, necesitas algo aunque sea minima, de informacion de
> logging. Si dices que los has salvado miralos con cuidado, analizando todas la
> IPs que aparecen. Si tienes un sistema con varias maquinas, mira todos los logs
> de todas puesto que si usas NIS/LDAP o similar o con un tiempo que haya estado
> con el sniffer ( para eso pone tu tarjeta en modo promiscuo ) ha podido pillar
> passwords de otros sistemas. 
> 
> Existen formas de logear imborrables como grabar toda la info de log
> directamente en un CD o que salga por impresora. No necesitas hacerlo de toda,
> puedes hacer un filtro de todas las IPs que acceden y que syslog lo escriba en 
> /dev/lp0 directamente. Para cuando fuera a borrar el log, este ya estaria
> impreso. Un truco bastante trivial pero que deja sin recursos (si es que
> tienen) a algunos listillos script-kiddies, es fijar tu directorio /var/log con
> el atributo de extfs "inmutable" (si usas ext2/ext3, claro esta) :
> 
> # chattr -R +i /var/log
>  
> Tengo alguna experiencia y la mayoria de veces dejan pistas. Mira el history
> del bash, comprueba los servicios que tenias activos y si hay xploits
> conocidos, si usas tcp-wrappers, acota la entrada por sitios determinados .
> Tambien la politica de contraseñas suele ser la causa mas habitual
> de ataques.  
> 
> Usas tripwire ? Te ayudara a saber que han hecho en tu sistema, que han
> cambiado. Tambien puedes comprobar todos los checksum de los paquetes deb.Te
> cuento cosas bastante basicas que posiblemente ya sepas pero que a veces se
> pasan por alto. 
> 
> Si quieres molestarte mas ( y perder algo de tiempo ) puedes ponerle un
> sistema trampa, de forma que ciertos servicios a ciertas IPs se direccionen a
> otro sistema que hayas preparado para la captura de info del sujeto. Aqui ya
> entra tus ganas y habilidad. 
> 
> Un saludo. Pedro.
> 
> > _________________________________________________________________
> > Send and receive Hotmail on your mobile device: http://mobile.msn.com
> > 
> > 
> > -- 
> > To UNSUBSCRIBE, email to debian-user-spanish-request@lists.debian.org
> > with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
> 
> -----------------------------------------------
> E-Mail: Pedro Bados <pedrobados@eresmas.net>
> Date: 22-May-2002 
> -----------------------------------------------
> 
> 
> -- 
> To UNSUBSCRIBE, email to debian-user-spanish-request@lists.debian.org
> with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
> 
> 


--

======================================================
|           Jose Agustin Lopez Bueno                 |
|          E-Mail: Agustin.Lopez@uv.es               |
|        Home Page: http://www.uv.es/~lopezj/        |
|            http://www.uv.es/postman/               |
|        Tfnos: +34-6-3864310  +34-6-3983129         |
|               Fax: +34-6-3864200                   |
| Servicio de Informatica, Univ. de Valencia, Spain  |
======================================================





--
To UNSUBSCRIBE, email to debian-user-spanish-request@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

Reply to:

Follow-Ups:
- Re: Servidor COMPROMETIDO
  - From: José Luis Triviño <trivino@lcc.uma.es>
- RE: Servidor COMPROMETIDO
  - From: Gunnar Wolf <gwolf@campus.iztacala.unam.mx>

Prev by Date: Re: Primera instalacion: Arreglillos
Next by Date: Re: acentos en OpenOffice 1.0
Previous by thread: Re: Servidor COMPROMETIDO
Next by thread: Re: Servidor COMPROMETIDO
Index(es):
- Date
- Thread