[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Posible intrusión un server

Saludos:

>
> Por otra parte, te recomiendan que reinstales sin saber si quiera el
> alcance de la intrusión, yo no lo haría hasta estar seguro que te la
> hayan metido hasta el fondo. Usa ps, lsof, netstat y demas para ver si
> hay procesos anómalos ejecutándose y si no tienes tripwire usa lsattr
> para buscar atributos que no deberían tener binarios del sistema como
> ps, lsof, netstat, etc... suelen dejarlos como inmutables para que no
> puedas sustituirlos.

  Creo que no se leyó o entendió bien esta recomendación, en primera
instancia es realizar un forense de computadoras sobre el servidor o
computadora comprometida para conocer el que, como, cuando, quien,
etc, del incidente. Luego de lo cual se recomienda reinstalar todo el
sistema, basando en los hallazgos de análisis forense; es obvio que de
nada serviria reinstalar todo, y que el sistema quede en el estado
cuando fue comprometido.

  Por otra parte, y es bueno recordarlo, la captura de evidencia se
realizada con herramienta confiables, NO con las herramientas que
estan en el sistema donde se suscitó el incidente.

 Atte:

-- 
Alonso Eduardo Caballero Quezada aka ReYDeS - ReYDeS@gmail.com
OWASP Member / Brainbench Certified Computer Forensics (US) / SSP-CNSA
www.iDev.pe /  www.ReYDeS.com / www.npros.com.pe / LRU #307242
Reply to: