Re: Detectar accesos remotos que no sean por ssh
El 06/04/11 11:29, tq escribió:
> Camaleón wrote:
>> El Tue, 05 Apr 2011 08:47:51 -0300, tq escribió:
>> ^^^^^^^^^^^^^^^^^^^^^^^^^^
>>
>> Este correo lo he recibido hoy (mié may 4 17:11:42 CEST 2011) :-?
>>
>>
>>> Por cuestiones de trabajo tuve que darle ingreso como root a un server
>>> de la empresa a un tercero.
>>>
>>> La cuestión es que al principio le forwardeaba el 22 de SSH para que
>>> pueda entrar por ssh vía internet, pero hace un tiempo que no me
>>> solicita este trabajo, por lo que estimo que puede haber instalado
>>> algún
>>> aplicativo para poder conectarse remotamente.
>>>
>>
>> (...)
>>
>> Quizá esté conectado a través de un túnel inverso. ¿Tienes
>> configurada alguna restricción en el servidor ssh?
>>
>> Revisa los registros, te dirán cómo ha entrado.
>>
>> Saludos,
>>
>>
>
> Hola gracias por la respuesta!
>
> Haber, cuando dices chequea los registros, que podría mirar porque
> además de /var/log/auth.log no se donde buscar lo de los tuneles
> inversos?
>
> Si alguien puede aportar algunos tips muy agradecido!
>
> Saludos.
>
>
>
Hola,
si esa persona empleaba un usuario en particular puedes ver cualquier
conexión que tenga establecida con
$ lsof -u usuario -a -i
también puedes consultar con lsof o netstat las conexiones abiertas en
tu sistema.
Un saludo.
Reply to: