On 21-May-2002 Clark Kent wrote: > que tal gente, les escribo para ver si me pueden dar una mano. Hoy a la > mañana me di cuenta de que hubo actividad fuera de lo normal en el servidor > de mi red (20 maquinas). Alguien NO AUTORIZADO estuvo en el sistema por NO > SE cuanto tiempo y modifico muchas cuestiones comprometiendo TODA la red. > Por ejemplo, seteo la placa de red para que cada vez que se levante lo haga > en modo promiscuo, modifico archivos de configuracion para permitir su > ingreso (SSH y FTP), oculto otros archivos cambiando dueños y permisos, y > vaya uno a saber que mas. Lo primero que atine a hacer fue salvar los LOGS > del sistema y algunos archivos para su posterior analisis, y despues > reinstalar TODO el Servidor. De todos modos, por lo que pude ver, > practicamente NO dejo rastros. Ya adverti a los usuarios para que cambien > sus contraseñas. Lo que me gustaria saber, es que se hace en estos casos. > Como puedo hacer para localizar al intruso???? Hay alguna manera de poner > una especie de "trampa" para engañarlo y poder localizarlo??? Como puedo > saber COMO hizo para entrar??? Que hago??? > Bueno, muchas gracias...... >
Para localizar al intruso, necesitas algo aunque sea minima, de informacion de logging. Si dices que los has salvado miralos con cuidado, analizando todas la IPs que aparecen. Si tienes un sistema con varias maquinas, mira todos los logs de todas puesto que si usas NIS/LDAP o similar o con un tiempo que haya estado con el sniffer ( para eso pone tu tarjeta en modo promiscuo ) ha podido pillar passwords de otros sistemas. Existen formas de logear imborrables como grabar toda la info de log directamente en un CD o que salga por impresora. No necesitas hacerlo de toda, puedes hacer un filtro de todas las IPs que acceden y que syslog lo escriba en /dev/lp0 directamente. Para cuando fuera a borrar el log, este ya estaria impreso. Un truco bastante trivial pero que deja sin recursos (si es que tienen) a algunos listillos script-kiddies, es fijar tu directorio /var/log con el atributo de extfs "inmutable" (si usas ext2/ext3, claro esta) : # chattr -R +i /var/log Tengo alguna experiencia y la mayoria de veces dejan pistas. Mira el history del bash, comprueba los servicios que tenias activos y si hay xploits conocidos, si usas tcp-wrappers, acota la entrada por sitios determinados. Tambien la politica de contraseñas suele ser la causa mas habitual de ataques. Usas tripwire ? Te ayudara a saber que han hecho en tu sistema, que han cambiado. Tambien puedes comprobar todos los checksum de los paquetes deb.Te cuento cosas bastante basicas que posiblemente ya sepas pero que a veces se pasan por alto. Si quieres molestarte mas ( y perder algo de tiempo ) puedes ponerle un sistema trampa, de forma que ciertos servicios a ciertas IPs se direccionen a otro sistema que hayas preparado para la captura de info del sujeto. Aqui ya entra tus ganas y habilidad. Un saludo. Pedro. > _________________________________________________________________ > Send and receive Hotmail on your mobile device: http://mobile.msn.com > > > -- > To UNSUBSCRIBE, email to [EMAIL PROTECTED] > with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED] ----------------------------------------------- E-Mail: Pedro Bados <[EMAIL PROTECTED]> Date: 22-May-2002 ----------------------------------------------- -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]