Una intrusion de aquellas...

["\[DrUiDa\]" <netdruid@ciudad.com.ar>]

Hola de nuevo a todos... aca les quiero comentar sobre una intrusion que me
hicieron, en realidad creo que fueron mas de una, la primera cuando estaba
instalando Woody desde la red. Me baje un instalador de 37MB con lo basico y
lo demas lo baje con el apt desde la red.
El tema es que me entraron lindo, estuve viendo los logs y vi que mientras
yo boludeaba y probaba cosas, otro estaba haciendo lo mismo, jeje. En los
logs hay comandos todos mezclados (de este tipo y mios), quedo su IP por ahi
metida, todos los comandos que ejecuto (algunos que no conocia y que no
termino de probar), archivos de logs que miraba, ordenes con argumentos
gigantes por todos lados... en fin, el 90% del logs es de esa intrusion y yo
ni cuenta me di. Me entere despues por un mail del snoopy el quilombo que
hizo probando y mirando cosas. Ahora que lo pienso quizas fue alguien de aca
mismo, ya que tengo ADSL y mi IP no cambia tan seguido y con la IP del mail
ese de tantos puertos abiertos.... mmmm... bue, es caso aparte, la cosa es
que me dejo con la boca abierta todo lo que vi. Hasta se ve que ejecuta
comandos para apagar el ipchains, prueba cosas y antes de irse lo vuelve a
encender. Obviamente entro como root, no tengo la mas palida idea de que
bugs uso o que fue lo que hizo, lo que tampoco en parte no entiendo ya que
supongo que me baje la ultima version de todos los paquetes. O me equivoco?
pudo haber entrado por medio de algun bug? si alguien me puede aclarar esto
ultimo tambien, por favor.
El tema es que vi en los logs, y esto es lo que me sorprendio mas que nada,
que en una de las veces en que yo corte la conexion a internet (con el
poff), en el log siguen apareciendo comandos del intruso. Como puede ser
eso? y lo peor es que hay un par que son hasta de 3 minutos despues, o sea
que descartemos que el logger intrudujo los datos en distinto orden en el
.log. Como es posible esto? yo corte la conexion y el intruso seguia como si
nada, se ven _muchos_ comandos despues de ese corte mio, y cuando me volvia
a conectar, obvio que seguia. Eso no lo entendi, quizas me digan que no es
posible pero lo tengo en los logs que no lo posteare porque es largo y no
tiene mucho sentido ni siquiera poner ese pedacito. Siempre estaria quien
piense que el log lo modifique antes de postearlo y no tiene sentido, pero
juro que en el log lo tengo asi y no entiendo como pudo pasar semejante
cosa.
Para cerrar quisiera pedirles opiniones y consejos sobre que puedo hacer, si
existe algun programa para detectar rootkits o lo que sea que pudo haber
dejado dentro de mi sistema, para limpiarlo de cualquier rastro de esa
intrusion. Cualquier sugerencia sera bien recibida y sino estuviese
Argentina como esta, seria hasta bien recompensada... XD Saludos a todos,
perdon por la extension de este mensaje y mil gracias desde ya a todo aquel
que pueda darme una manito... y al que no, gracias tambien. :)