El lun, 09-02-2009 a las 17:59 +0100, Francisco Calero escribió: > Bueno, ya hemos conocido el problema. Ahora si os parece voy acortando > caminos por los cuales han podido entrar. > > A ver... NO se trata de una empresa especializada en servicios de > internet luego el daño no sería una gran perdida.Se trata de una empresa > de programación e informatica en general,tengo mis trabajos en php, > java, etc..(los cuales hago backup de vez encuando) el ordenador > infectado lo tengo con salida a internet mediante un router, el cual > esta configurado en multipuesto, y que a su misma vez tengo creadas > varias politicas nat hacia varios puertos de mi máquina, luego el camino > se estrecha un poco como quien dice. > > Por suerte acabo de revisar que el password del router está intacto, y > la configuración sigue siendo la misma, ya que me ha dado por pensar que > podría tener un sniffer también por ahí suelto, aunque creo que nunca lo > voy saber realmente. > > Lamentablemente los puertos que tengo puestos son: > > 80/tcp open http > 22/tpc open ssh > 21/tpc open ftp > 1000/tcp open webmin > 5900/tcp open vnc > > No podían ser otros servicios :-) > > nmap -A localhost > > Starting Nmap 4.11 ( http://www.insecure.org/nmap/ ) at 2009-02-09 17:44 > CET > Interesting ports on localhost (127.0.0.1): > Not shown: 1672 closed ports > PORT STATE SERVICE VERSION > 22/tcp open ssh OpenSSH 4.3p2 Debian 9etch3 (protocol 2.0) > 80/tcp open http Apache httpd 2.2.3 ((Debian) PHP/5.2.0-8 > +etch13) > 139/tcp open netbios-ssn Samba smbd 3.X (workgroup: TRABAJO) > 445/tcp open netbios-ssn Samba smbd 3.X (workgroup: TRABAJO) > 631/tcp open ipp CUPS 1.2 > 3306/tcp open mysql MySQL 5.0.32-Debian_7etch8-log > 5900/tcp open vnc VNC (protocol 3.7) > 10000/tcp open http Webmin httpd > > > ¿Me podeis indicar donde puedo checkear los bug de estas versiones? >
Te sugiero, que si vas a hacer una autopsia, primero te organices por areas; descubrieron tu clave; como viaja la clave, usas ssh, como? entras como root o usuario?. Que servicios tienes, veo que usas Samba, tienes la misma clave para root y Samba? Que tan segura es tu clave, usa el paquete John the Ripper, para probarla. Podrias hacer varias copias de tu DD, como te sugirieron y enviar 1 al equipo de seguridad, si es que se determina que se trata de alguna vulnerabilidad. En fin, deberias tomartela mas calmado y a su vez ordenar y escribir todo. hasta pronto. -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org