Re: Problema de seguridad: intruso

To: debian-user-spanish@lists.debian.org
Subject: Re: Problema de seguridad: intruso
From: "Jorge :-P" <vacatalada@gmail.com>
Date: Thu, 6 Apr 2006 02:23:01 +0200
Message-id: <[🔎] 57a4be190604051723ma2bac4i3b0c7b90013fada3@mail.gmail.com>
In-reply-to: <[🔎] 57a4be190604051604y26330737y2bc56cfd2a7df0a6@mail.gmail.com>
References: <[🔎] 57a4be190604051604y26330737y2bc56cfd2a7df0a6@mail.gmail.com>

Hola,

Contesto a todo de golpe:

El intruso me mando un correo con el .bashrc del usuario normal. (lo tengo personalizado)

Cada mes hago copias de seguridad usando el mondo, porque no es la primera vez que me pasa... (algo haré mal)
ya me he hecho una del sistema afectado y estoy restaurando a la del 1 de marzo

El Debian lo tengo conectado a internet directamente, en la misma red., igual que el windows

Al final de mes, actualizo el sistema (cuando hay algo que actualizar). uso la distribucion stable, para no tener que actualizarlo frecuentemente.

El servidor web y samba están cerrados al exterior, pero no están cerrados al ordenador que tiene windows, el resto de puertos, lo están.

El samba no lo tengo protegido con contraseña, pero tampoco tiene acceso escritura, salvo en una carpeta compartida. Samba dentro del sistema sólo tiene acceso a unas pocas carpetas con música, documentos, etc
Seguro que entran por aquí, la anterior vez que entraron lo tenía configurado igual. Por mucho que lo intento, cuando uso contraseñas, nunca consigo entrar... Pero sera cuestión de seguir preguntando a google.

el servidor web, apache 1.3.33, solo tiene acceso a unas carpetas con fotos.

todos los ficheros compartidos no tienen como raíz el home del usuario normal. a este home, sólo puede acceder el usuario normal, nadie más, y es justo donde esta el fichero que el intruso me mando al correo.

El ordenador al iniciarse no arranca las x, para ahorrar recursos, sólo pregunta el login. siempre salgo de la cuenta después de usarla.

Mirando por los logs no veo nada extraño, y es eso lo que mas me mosquea, quizás me falte alguno de ver, o quizás el intruso era bastante listo y me los ha limpiado, por eso me interesaría ver los de windows.

Otro despiste que el hacker descuido, es que debía pensar que el ordenador se apagaba frecuentemente, porque en /tmp, han aparecido misteriosos ficheros fuente, que tienen más código en "ensamblador" que en C.. Curiosamente muchos vienen firmados con "# milw0rm.com", que es una página de hacking.
Si le pongo un poco de imaginación, pues las cosas tienen más sentido.

Lo que no entiendo, es porque me ha avisado, y como lo hace para entrar y ejecutar sus cosas...

Otra cosa curiosa es que aparentemente, salvo la carpeta /tmp y el correo, todo sigue igual. Se cargan los mismos módulos en el kernel, no hay ningún proceso raro...
Estoy bastante intrigado...

Un saludo,
Jorge Mena

Reply to:

References:
- Re: Problema de seguridad: intruso
  - From: "Jorge :-P" <vacatalada@gmail.com>

Prev by Date: Re: Problema de seguridad: intruso
Next by Date: Re: Problema de seguridad: intruso
Previous by thread: Re: Problema de seguridad: intruso
Next by thread: Re: Problema de seguridad: intruso
Index(es):
- Date
- Thread