Saludos: > > Por otra parte, te recomiendan que reinstales sin saber si quiera el > alcance de la intrusión, yo no lo haría hasta estar seguro que te la > hayan metido hasta el fondo. Usa ps, lsof, netstat y demas para ver si > hay procesos anómalos ejecutándose y si no tienes tripwire usa lsattr > para buscar atributos que no deberían tener binarios del sistema como > ps, lsof, netstat, etc... suelen dejarlos como inmutables para que no > puedas sustituirlos.
Creo que no se leyó o entendió bien esta recomendación, en primera instancia es realizar un forense de computadoras sobre el servidor o computadora comprometida para conocer el que, como, cuando, quien, etc, del incidente. Luego de lo cual se recomienda reinstalar todo el sistema, basando en los hallazgos de análisis forense; es obvio que de nada serviria reinstalar todo, y que el sistema quede en el estado cuando fue comprometido. Por otra parte, y es bueno recordarlo, la captura de evidencia se realizada con herramienta confiables, NO con las herramientas que estan en el sistema donde se suscitó el incidente. Atte: -- Alonso Eduardo Caballero Quezada aka ReYDeS - rey...@gmail.com OWASP Member / Brainbench Certified Computer Forensics (US) / SSP-CNSA www.iDev.pe / www.ReYDeS.com / www.npros.com.pe / LRU #307242 -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/BANLkTimVOV=uAZu4qo40T3ok-«izx...@mail.gmail.com
