Re: Who no muestra ningun usario
El sáb, 27-07-2002 a las 09:28, Antonio Castro escribió:
> On 26 Jul 2002, Ruben Porras wrote:
>
> > Pues eso
> > $ who
> > $
> >
> > ¿ Como es posible? no se supone que tiene que mostrar al menos un
> > usuario.
>
> Por si las moscas desconecta tu máquina de la red y comprueba que
> tu 'who' no ha sido sustituido por otro (troyano) y que tu kernel
> continua siendo el que debe ser.
Lo he recompilado hace un par de días, así que debe de estar en orden.
No te fiés demasiado de los logs,
> tambien pueden estar tocados.
>
> Si estás seguro que de que no te han atacado no se que otra explicación
> puede haber pero tendrás que mirar muy bién.
La verdad es que no estoy seguro de nada.
Lo de mirar los logs no creo que sirva de nada pues el fallo se remonta
a más de un mes y hasta hace 4 días no me he preocupado por la seguridad
en absoluto. De hecho el motivo de que pregunte es que estoy preocupado
por que alguien haya entrado en mi maquina. (De todas formas tampoco se
muy bien que debo mirar en los logs)
Leí harden-doc y he cerrado todos los puertos que tenía abiertos (que
eran como 12, apache, webmin, cups, smtp, todos los del inetd...)
Luego comprobe los archivos sin propietario o grupo, nada raro,
ejecutables en /tmp, nada raro.
instalé el paquete chkrootkit y lo ejecuté, no encontró nada.
Luego comprobé los programas con el SUID/SGID, son los siguientes
/usr/bin/wall
/usr/bin/newgrp
/usr/bin/chage
/usr/bin/chfn
/usr/bin/chsh
/usr/bin/expiry
/usr/bin/gpasswd
/usr/bin/passwd
/usr/bin/at
/usr/bin/write
/usr/bin/crontab
/usr/bin/dotlockfile
/usr/bin/mutt_dotlock
/usr/bin/gpg
/usr/bin/mtr
/usr/bin/procmail
/usr/bin/lockfile
/usr/bin/kdesud
/usr/bin/cdda2wav
/usr/bin/cdrecord
/usr/bin/readcd
/usr/bin/kcheckpass
/usr/bin/sudo
/usr/bin/konsole_grantpty
/usr/bin/mail-lock
/usr/bin/traceroute
/usr/bin/xscreensaver
/usr/bin/splaymidi
/usr/sbin/exim
/usr/sbin/pppd
/usr/sbin/gnome-pty-helper
/usr/sbin/camel-lock-helper
/usr/games/gnome-freecell
/usr/games/gnomine
/usr/games/sol
/usr/games/gnome-stones
/usr/games/mahjongg
/usr/games/same-gnome
/usr/games/gnibbles
/usr/games/gnometris
/usr/games/gnotravex
/usr/games/ctali
/usr/games/gtali
/usr/games/gnobots2
/usr/games/iagno
/usr/games/glines
/usr/games/gataxx
/usr/games/gnome-xbill
/usr/games/gnotski
/usr/games/crafty.bin
/usr/games/atc
/usr/games/animals
/usr/games/battlestar
/usr/games/canfield
/usr/games/cribbage
/usr/games/phantasia
/usr/games/robots
/usr/games/sail
/usr/games/snake
/usr/games/tetris-bsd
/usr/games/luxman
/usr/games/maped
/usr/lib/pt_chown
/usr/lib/mc/bin/cons.saver
/usr/lib/xcdroast-0.98/bin/xcdrwrap
/usr/lib/emacs/20.7/i386-debian-linux-gnu/movemail
/usr/lib/emacs/21.2/i386-debian-linux-gnu/movemail
/usr/lib/xemacs-21.4.6/i386-debian-linux/movemail
/usr/lib/apache/suexec
/usr/lib/ssh-keysign
/usr/X11R6/bin/X
/usr/X11R6/bin/xterm
/sbin/unix_chkpwd
/bin/login
/bin/su
/bin/mount
/bin/umount
/bin/ping
En principio hay algunos comandos que hacen, pero lo unico que veo raro
es que los juegos se encuentren en esta lista.
La única forma que se me ha ocurrido de comprobar si el who es original
es comprobando con md5sum, el codigo devuelto es
8e0ef9f966d7052ba5e09c1f83d443ce
Estoy usando woody, me haría falta que elguien comprobase que es
correcto.
Voy a pasarme a Sarge, así que quizá los archivos modificados por un
hacker se destruyan con la actualización.
¿Que pensais?
--
The chains are broken and the door is open wide
Our eyes adjusting to the light that was denied
And the voices ringing out now
Sing of freedom
And bring a sense of wonder
http://www.es.debian.org/intro/about.es.html
--
To UNSUBSCRIBE, email to debian-user-spanish-request@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Reply to: