El Sunday 27 January 2008 20:46:19 JAP escribió: > Todo eso está "sin novedad en el frente"; junto con netstat es lo > primero que probé. > Estoy SEGURO que no está zombie, pero estoy queriendo saber de alguien > que haya tenido el problema, cómo se dio cuenta, qué hizo, qué utiliza > ahora para evitarlo, etcétera. > Es decir, alimentar la paranoia. Yo he tenido varios en máquinas preparadas para hacer de honeypot. Las máquinas zombies con linux existen, por supuesto que sí. Generalmente se nota cuando hay un tráfico desmesurado que antes no existía. Si es tu caso, revisa qué causa ese tráfico, echa un vistazo a fondo en directorios temporales, generalmente cuando te cuelan un rootkit ni se molestan en borrar ficheros. Si puedes, desvía todo el tráfico a otro puerto del switch para analizarlo, o bien si pasa a través de otra máquina tcpdump es tu amigo. Si tienes serias sospechas de alguna intrusión jamás uses las herramientas de la misma máquina porque probablemente las hayan cambiado. -- BOFH excuse #144: Too few computrons available.
Attachment:
signature.asc
Description: This is a digitally signed message part.