JAP escribió:
Cristian Mitchell escribió:
El 27/01/08, JAP <[EMAIL PROTECTED]> escribió:
La pregunta es... ¿cómo detecto si me han hecho vudú, o sea, si se
convirtió en zombie?
con pstree y top
Todo eso está "sin novedad en el frente"; junto con netstat es lo
primero que probé.
Estoy SEGURO que no está zombie, pero estoy queriendo saber de alguien
que haya tenido el problema, cómo se dio cuenta, qué hizo, qué utiliza
ahora para evitarlo, etcétera.
Mas allá de si los end-user linuxeros somos o no un target para las
botnet (;)), si alguien entró en tu máquina como root entonces la única
forma de asegurarte que el equipo no se encuentra comprometido es desde
otro; si una persona planea usar tu equipo como zombie, y hace un buen
trabajo, entonces hay que asumir que, por ejemplo, pstree es en realidad
un versión parcheada para que no liste los procesos que el atacante no
quiera que se listen. Lo mismo con las demás utilidades de sistema.
Lo que haría en tu caso, si realmente tenés dudas, es un backup y un
"cat /dev/urandom > /dev/sdN". Claro, con un backup de /home y otro de
/etc me puede llevar 3 horas tener un Debian nuevo, en mi pc personal,
pero si lo que buscas es investigar entonces podrías snifear las
conexiones con otro equipo, o usar un live cd para revisar los logs
(posiblemente sin encontrar nada) y correr un md5 sobre los binarios del
sistema para compararlos con otros seguros. No soy un experto en
seguridad pero son las dos opciones que se me ocurren.
Saludos!
--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]