El sáb, 11-11-2006 a las 07:35 -0600, Andres Aponte escribió: > Saludos lista, en dias pasados un sistema Debian linux que yo > administro fue atacado, todos los archivos del directorio /var/log > fueron borrados y reemplazados por directorios vacios, ademas muchos > comandos del sistema desaparecieron como el comando passwd, shutdown, > etc, sin embargo de nuevo reinstale el comando passwd para cambiar la > clave del root pero la cambiaba aparentemente de forma satisfactoria, > pero seguia la misma, antes de borrar y reinstalar el sistema > operativo intente revisar y auditarlo para encontrar cosas > sospechosas, instale la herramienta chkrootkit y al ejecutarla > encontro lo que podriaser un rootkit, pero consultando en google > encontre que se trataba de un falso positivo ya que el sistema tenia > instalado portsentry y al bajar el servicio ya desaparecia dicho falso > positivo. Lo unico que pude encontrar fue unas conexiones extrañas > desde direcciones ip provenientes de China pero no encontre nada mas, > bueno el caso es que quisiera sabe si alguien que haya tenido > experiencia con esto puede recomendarme herramientas para auditar mi > sistemas como detectores de rootkits o herramientas de analisis > forense, aunque se que en un caso como el que me paso lo mas adecuado > es borrar y reinstalar de nuevo el sistema mi interes es saber de > donde y como fue ocasionado dicho ataque. > > Andres Aponte M. Hola. Lo primero de todo, haz una copia de particiones (incluidas swap) del equipo a ser posible sin haber reiniciado y desconectalo de internet. En rediris [1] (red libre que controla las conexiones de la universidad en España y otras mil cosas) se hizo un concurso [2] hace un tiempo en el que entregaban las imágenes de un equipo comprometido. Leyendo por ejemplo los resultados [3] del ganador del concurso puedes aprender un montón. Suerte en el análisis forense. [1] http://www.rediris.es/ [2] http://www.rediris.es/cert/ped/reto/ [3] http://www.rediris.es/cert/ped/reto/resultados.html -- http://soleup.eup.uva.es/mariodebian
Attachment:
signature.asc
Description: Esta parte del mensaje =?ISO-8859-1?Q?est=E1?= firmada digitalmente