----- Original Message ----- From: "Clark Kent" <[EMAIL PROTECTED]> Subject: Servidor COMPROMETIDO > que tal gente, les escribo para ver si me pueden dar una mano. Hoy a la > mañana me di cuenta de que hubo actividad fuera de lo normal en el servidor > de mi red (20 maquinas). Alguien NO AUTORIZADO estuvo en el sistema por NO > SE cuanto tiempo y modifico muchas cuestiones comprometiendo TODA la red. > Por ejemplo, seteo la placa de red para que cada vez que se levante lo haga > en modo promiscuo, modifico archivos de configuracion para permitir su > ingreso (SSH y FTP), oculto otros archivos cambiando dueños y permisos, y > vaya uno a saber que mas. Lo primero que atine a hacer fue salvar los LOGS > del sistema y algunos archivos para su posterior analisis, y despues > reinstalar TODO el Servidor. De todos modos, por lo que pude ver, > practicamente NO dejo rastros. Ya adverti a los usuarios para que cambien > sus contraseñas. Lo que me gustaria saber, es que se hace en estos casos. > Como puedo hacer para localizar al intruso???? Hay alguna manera de poner > una especie de "trampa" para engañarlo y poder localizarlo??? Como puedo > saber COMO hizo para entrar??? Que hago??? > Bueno, muchas gracias...... >
distro? actualizada? Lo lindo hubiera sido guardar todo tal cual para estudiar como pensaba volver este fulano, por donde, etc. Lastima que ya formateaste todo y ahora no sabremos "como entro" ... Si no sabes como entro, quien te tranquiliza ahora que no volvera? Sabian que el proftpd de potato configurado por default es vulnerable a DOS? No digo que esa sea la puerta de ingreso pero, esto del proftpd lo vivi en carne propia, entonces pienso, sera debian tan segura como uno cree? Hay alguna lista dedicada a la seguridad de debian? Esta es la version de potato (actualizada al dia de hoy) ProFTPD 1.2.0pre10 Esto lo tuve que agregar en la configuracion para no permitir el DOS # By Fernando - Thanks MiTo DenyFilter /\*/\.\. # End By Fernando - Thanks MiTo De no poner esta linea en la configuracion hace que un tipo conectado con acceso anonimo me ocupe toda la swap en poco tiempo con este simple comando: ftp> ls */../*/../*/../*/../*/../*/../*/../*/../*/../*/../*/../*/../* Esto a mi me preocupa. Uno tiene que estar al tanto de que es lo que esta gente descubre ya que con instalar y configurar no alcanza... Bueno, si alguien quiere comentar alguna experiencia, a mi me interesa este tema (aunque no se si es el lugar ideal para hablarlo). Saludos Fernando -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
