Re: Problema de seguridad: intruso

To: "Debian User Spanish" <debian-user-spanish@lists.debian.org>
Subject: Re: Problema de seguridad: intruso
From: "Alonso Caballero Quezada / ReYDeS" <reydes@gmail.com>
Date: Wed, 5 Apr 2006 16:51:20 -0500
Message-id: <[🔎] 7891c89d0604051451g7acb4463p13373a552f22ae90@mail.gmail.com>
In-reply-to: <[🔎] 57a4be190604051328m4e0fd589rd535f25e037ca771@mail.gmail.com>
References: <[🔎] 57a4be190604051328m4e0fd589rd535f25e037ca771@mail.gmail.com>

Saludos:

> Tengo un problema bastante serio, alguien se ha metido en mi Debian con el
> firewall y el snort bien configurados.

  Pues ya has comprobado que seguridad <> firewall + IDS + etc.

>
> El firewall tiene todos los puertos cerrados para todas las IPs, salvo para
> otro ordenador de mi red que tiene los puertos samba y web abiertos. Además
> la contraseña de root tiene 20 caracteres y la de usuario 12
>
> Me gustaría saber como puedo obtener información de la intrusión. Sospecho
> que se ha colado a través del otro ordenador que usa windows xp home
>
> Dónde tengo que mirar?? y en windows??
>

  Lo mas recomandable seria que hagas una imagen de ambos discos duros
de los sitemas comprometidos, eso de obtener evidencia de sistemas en
"caliente" no es recomendable. Todo analisis sigue una metodologia,
como lo he dicho en un email anterior, debes obtener evidencia desde
la mas volatil a la que no lo es.

  haz un volcado de la memoria RAM, revisa las conecciones de red
actuales, una imagen de los discos duros.

  Vas a tener que revisar los logs de ambos sistemas, en debian, ya
sabes donde guardan los registros, en windows, igualmente, revisa que
tienes activada la opcion de "logueo" si no es asi, hay mas
complicaciones. revisa la integridad de los archivos, es por ello que
no se recomienda una revision en "caliente" del sistema, dado que si
te han instaldo algun troyano o similar, la informacion que te
devuelvan los comandos puede no ser veraz.

  SI tiens 2 vectores de ataques probables, entonces por alli deberias
empezar tu analisis, sin descartas mas posibles maneras en que te han
afectado al servidor.

 Yo te recomendaria seguir una simple metodologia de analisis forense
y como la metodologia lo indica, no utilizar los mismos sistemas para
el analisis, sino hacer el analisis en las copias.

  Y la pregunta del millon es. como sabes que se han metido a tu debian?.

 Atte:

--
Alonso Caballero Quezada aka ReYDeS - ReYDeS@gmail.com
http://alonsocaballero.informatizate.net - LRU # 307242
http://www.SWP-scene.org - http://www.RareGaZz.net

Reply to:

References:
- Problema de seguridad: intruso
  - From: "Jorge :-P" <vacatalada@gmail.com>

Prev by Date: Re: Permisos
Next by Date: Re: [FILTRO ANTI-HTML] ThunderBird, Sylpheed, etc... ¿Filtros disponibles en ellos?
Previous by thread: Re: Problema de seguridad: intruso
Next by thread: Re: Problema de seguridad: intruso
Index(es):
- Date
- Thread