Saludos: > Tengo un problema bastante serio, alguien se ha metido en mi Debian con el > firewall y el snort bien configurados.
Pues ya has comprobado que seguridad <> firewall + IDS + etc. > > El firewall tiene todos los puertos cerrados para todas las IPs, salvo para > otro ordenador de mi red que tiene los puertos samba y web abiertos. Además > la contraseña de root tiene 20 caracteres y la de usuario 12 > > Me gustaría saber como puedo obtener información de la intrusión. Sospecho > que se ha colado a través del otro ordenador que usa windows xp home > > Dónde tengo que mirar?? y en windows?? > Lo mas recomandable seria que hagas una imagen de ambos discos duros de los sitemas comprometidos, eso de obtener evidencia de sistemas en "caliente" no es recomendable. Todo analisis sigue una metodologia, como lo he dicho en un email anterior, debes obtener evidencia desde la mas volatil a la que no lo es. haz un volcado de la memoria RAM, revisa las conecciones de red actuales, una imagen de los discos duros. Vas a tener que revisar los logs de ambos sistemas, en debian, ya sabes donde guardan los registros, en windows, igualmente, revisa que tienes activada la opcion de "logueo" si no es asi, hay mas complicaciones. revisa la integridad de los archivos, es por ello que no se recomienda una revision en "caliente" del sistema, dado que si te han instaldo algun troyano o similar, la informacion que te devuelvan los comandos puede no ser veraz. SI tiens 2 vectores de ataques probables, entonces por alli deberias empezar tu analisis, sin descartas mas posibles maneras en que te han afectado al servidor. Yo te recomendaria seguir una simple metodologia de analisis forense y como la metodologia lo indica, no utilizar los mismos sistemas para el analisis, sino hacer el analisis en las copias. Y la pregunta del millon es. como sabes que se han metido a tu debian?. Atte: -- Alonso Caballero Quezada aka ReYDeS - [EMAIL PROTECTED] http://alonsocaballero.informatizate.net - LRU # 307242 http://www.SWP-scene.org - http://www.RareGaZz.net