consulta de logs messages
Estimados, A alguien le ha ocurrido esto? veo un salto de horario en los logs, y aparte que estoy buscando algun log informandome de un problema que ocurrio cerca de las 6 a 7 de la mañana y lo unico que me encuentro es esto! Jul 26 06:09:41 Principal snmpd[21309]: Connection from UDP: [172.20.1.2]:55233 Jul 26 06:09:41 Principal snmpd[21309]: Connection from UDP: [172.20.1.2]:55234 Jul 26 06:09:41 Principal snmpd[21309]: Received SNMP packet(s) from UDP: [172.20.1.2]:55234 Jul 26 06:09:41 Principal snmpd[21309]: Connection from UDP: [172.20.1.131]:55234 Jul 26 07:11:59 Principal kernel: device eth1 left promiscuous mode Jul 26 07:11:59 Principal kernel: device eth1 entered promiscuous mode Jul 26 06:12:46 Principal init: Id rc respawning too fast: disabled for 5 minutes Jul 26 06:13:46 Principal init: Id rcc respawning too fast: disabled for 5 minutes Jul 26 07:15:48 Principal kernel: device lo left promiscuous mode Jul 26 07:15:49 Principal kernel: device lo entered promiscuous mode Jul 26 06:17:50 Principal init: Id rc respawning too fast: disabled for 5 minutes Atento a sus amables comentarios. -- *Luis Araneda Cortés*
Re: consulta de logs messages
Hola, primero que nada si tu no pusiste eth1 en modo promiscuo alguien mas lo hizo. Los mensajes de init respecto a rc y rcc?? son mas sospechosos aún. revisa contra tu gestor de paquetes si hay modificaciones en tus binarios. cuéntanos como te va. Claudio Aracena C. Amat victoria curam El 28 de julio de 2014, 15:32, Luis Enrique Aranedaleacb...@gmail.com escribió: Estimados, A alguien le ha ocurrido esto? veo un salto de horario en los logs, y aparte que estoy buscando algun log informandome de un problema que ocurrio cerca de las 6 a 7 de la mañana y lo unico que me encuentro es esto! Jul 26 06:09:41 Principal snmpd[21309]: Connection from UDP: [172.20.1.2]:55233 Jul 26 06:09:41 Principal snmpd[21309]: Connection from UDP: [172.20.1.2]:55234 Jul 26 06:09:41 Principal snmpd[21309]: Received SNMP packet(s) from UDP: [172.20.1.2]:55234 Jul 26 06:09:41 Principal snmpd[21309]: Connection from UDP: [172.20.1.131]:55234 Jul 26 07:11:59 Principal kernel: device eth1 left promiscuous mode Jul 26 07:11:59 Principal kernel: device eth1 entered promiscuous mode Jul 26 06:12:46 Principal init: Id rc respawning too fast: disabled for 5 minutes Jul 26 06:13:46 Principal init: Id rcc respawning too fast: disabled for 5 minutes Jul 26 07:15:48 Principal kernel: device lo left promiscuous mode Jul 26 07:15:49 Principal kernel: device lo entered promiscuous mode Jul 26 06:17:50 Principal init: Id rc respawning too fast: disabled for 5 minutes Atento a sus amables comentarios. -- *Luis Araneda Cortés*
Re: consulta de logs messages
last -20 revisa las ultimas conexiones al server. revisa tu firewall para verificar desde donde se pueden conectar. Busca todos los archivos que tengan fechas de modificacion o creacion la fecha del incidente incluye los archivos ocultos. cambia las claves de acceso. no permitar que el root se logue por consola, define solo un usuario que lo pueda hacer y unelo al grupo wheel. busca usuarios nuevos creados. escanea con antirootkit. Ponte en modo paranoico :D y como dice Claudio, si tu no pusistela eth1 en promiscuous alguien mas lo hizo. y recuerda que un buen intruso siempre borra sus huellas. Te recomiendo instalar ossec para problemas similares Suerte El 28 de julio de 2014, 16:35, Claudio Aracena Castex claudio.arac...@gmail.com escribió: Hola, primero que nada si tu no pusiste eth1 en modo promiscuo alguien mas lo hizo. Los mensajes de init respecto a rc y rcc?? son mas sospechosos aún. revisa contra tu gestor de paquetes si hay modificaciones en tus binarios. cuéntanos como te va. Claudio Aracena C. Amat victoria curam El 28 de julio de 2014, 15:32, Luis Enrique Aranedaleacb...@gmail.com escribió: Estimados, A alguien le ha ocurrido esto? veo un salto de horario en los logs, y aparte que estoy buscando algun log informandome de un problema que ocurrio cerca de las 6 a 7 de la mañana y lo unico que me encuentro es esto! Jul 26 06:09:41 Principal snmpd[21309]: Connection from UDP: [172.20.1.2]:55233 Jul 26 06:09:41 Principal snmpd[21309]: Connection from UDP: [172.20.1.2]:55234 Jul 26 06:09:41 Principal snmpd[21309]: Received SNMP packet(s) from UDP: [172.20.1.2]:55234 Jul 26 06:09:41 Principal snmpd[21309]: Connection from UDP: [172.20.1.131]:55234 Jul 26 07:11:59 Principal kernel: device eth1 left promiscuous mode Jul 26 07:11:59 Principal kernel: device eth1 entered promiscuous mode Jul 26 06:12:46 Principal init: Id rc respawning too fast: disabled for 5 minutes Jul 26 06:13:46 Principal init: Id rcc respawning too fast: disabled for 5 minutes Jul 26 07:15:48 Principal kernel: device lo left promiscuous mode Jul 26 07:15:49 Principal kernel: device lo entered promiscuous mode Jul 26 06:17:50 Principal init: Id rc respawning too fast: disabled for 5 minutes Atento a sus amables comentarios. -- *Luis Araneda Cortés*
