Re: ayuda (me atacan)

Tue, 30 Apr 2002 02:33:58 -0500 

El Lunes, 29 Abril 2002, Matias <[EMAIL PROTECTED]> escribió:

>Hola:
>       Me parece que me estan atacando (y que ya tomaron control del qmail).
>Instalé el netsaint para que me avise en estos casos, y los mails que 
>me mandaba eran algunos errores (que la mayoría eran mios o de la 
gente 
>con la cual estoy estudiando). Pero hace 4 horas empecé a recibir 
mails 
>de 8 megas (solo texto); en estos mails sólo figuran cosas del qmail.
>       Aunque ya pare el qmail, me fijé en los mensajes que estan en cola, y 
>son aproximadamente 50000, pertenecientes (los que me fijé) a una 
lista 
>de pornografía.

Yo diría que, efectivamente, alguien ha tomado el control de tu equipo 
para
enviar SPAM.

>[...]
>* ¿Qué me aconsejan hacer en casos así? Yo opté por dar de baja todos 
>los servicios que no uso, y dejar los que necesito (ssh y el squid 
-que 
>uso para que los usuarios internos tengan acceso a internet-)

Hay tres tareas que debes hacer:
   - Limpiar la cola de qmail y demás. En eso no te puedo ayudar.
   - Eliminar todo rastro de usuarios 'ilegales' de tu equipo usando:
        - chkrootkit (Te detecta los rootkit más habituales)
        - Mirando por ti mismo el fichero /etc/passwd  y el cron.
        - Lo ideal sería reinstalar el equipo completo, pero si no 
          puedes permitirlo al menos reinstala todos los paquetes base.
        - Usa log-analysis para intentar averiguar por donde se te han
          colado.
        - Cruza los dedos.
        - Nota: mientras estes haciendo estas operaciones desconecta
          todos los servicios.
   - Protegerte para el futuro:
        - Montar un firewall con iptables o ipchains (el que te 
          corresponda por tu kernel). Yo te puedo pasar mi script 
          de iptables, pero sólo te serviría como base para montar 
          el tuyo, ya que mis necesidades son distintas: mi ordenador 
          es sólo desktop, no da servicio a nadie.
        - Por supuesto desactivar todos los servicios desactivables.
        - Montar los servicios que necesites en chroot, de esta manera
          el daño que puede hacer un intruso estará limitado y podrás
          borrar y restaurar la jaula chroot con rapidez.

Mucha suerte,
--
Luis Arocha "Data"
Islas Canarias, España






-- 
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Responder a