[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Problema de seguridad: intruso



Hola,

El uptime que tenía el lunes eran 26 días, y encontré el problema el miércoles, la verdad es que no mire el uptime, pero el lunes, martes y miércoles estuve trabajando con él, no creo que me lo hayan desmontado... tampoco tengo nada de especial interés en los discos duros, y si alguien quiere algo sólo me lo tiene que pedir... son muchas molestias para ser una broma... Voy a mirar las copias de seguridad a ver si me encuentro alguna sorpresa.

Ahora que lo dices, alguna vez le abro el paso a algún amigo o compañero para que se pueda conectar con samba y coja alguna cosa que le interese, pero en los últimos días no me han pedido nada.

El ssh hay veces que lo tengo que usar, pero no creo que consigan conectarse por fuerza bruta, y más teniendo el puerto cerrado...

Un saludo para todos los que me estáis ayudando, gracias.
Jorge

 

Interesante. el que entra tiene privilegios de administración y conoce lo que vos conocés. Lo más probable es que sea alguién que trabaja contigo y piensas que solo es un novato.

Existen varias maneras de que esto haya ocurrido. Controlas el uptime de tu equipo? No será que se llevaron el disco a otro equipo donde modificaron tu /etc/passwd /etc/shadow temporalmente para instalar lo que necesitan y luego lo restauraron la configuración? Quién más sabe lo que tenés ejecutando en tu sistema?

Otra cosa que se me ocurre: el ssh. Fijate si existe /root/.ssh/authorized_keys. Si no lo utilizas, borrálo.

Mucha paciencia y ser metódico te llevaran a encontrar la solución.
Buena suerte y saludos,
Nicolás

Jorge :-P wrote:
me mandaron un correo con mi ".bashrc" (era el mio porque lo tengo bastante modificado. Nunca se lo he mandado a nadie) desde mi cuenta de usuario. Tengo las fuentes de varios proyectos y mi correo aparece en todos ellos.

No es la primera vez que se mete alguien. La anterior me llegaron a montar un servidor web con php y todo... Tengo ese ordenador como un servidor de ficheros dentro de la red interna. Tiene acceso a internet para actualizarse, mandar correos, etc


Seria de ayuda saber qué fue lo que te llevó a la conclusión de
que alguien entro a tu Debian.
Saludos,
Nicolás

Jorge :-P wrote:

        Tengo un problema bastante serio, alguien se ha metido en mi
Debian con el firewall y el snort bien configurados.

        El firewall tiene todos los puertos cerrados para todas las
IPs, salvo para otro ordenador de mi red que tiene los puertos
samba y web abiertos. Además la contraseña de root tiene 20
caracteres y la de usuario 12

        Me gustaría saber como puedo obtener información de la
intrusión. Sospecho que se ha colado a través del otro
ordenador que usa windows xp home

Dónde tengo que mirar?? y en windows??




--
NICOLAS PEREYRA MOLINAS
Open Solutions
npereyra@opensolutions.com.py < mailto:npereyra@opensolutions.com.py>
Asuncion - Paraguay



--
NICOLAS PEREYRA MOLINAS
Open Solutions
npereyra@opensolutions.com.py
Asuncion - Paraguay

Reply to: