Hola a todos! En relación con este tema, ¿cómo se puede hacer para tener un checksum de los paquetes debian y sus componentes para comprobar si se han modificado ficheros por un posible hacker?
Saludos, Agustin > > On 21-May-2002 Clark Kent wrote: > > que tal gente, les escribo para ver si me pueden dar una mano. Hoy a la > > mañana me di cuenta de que hubo actividad fuera de lo normal en el servidor > > de mi red (20 maquinas). Alguien NO AUTORIZADO estuvo en el sistema por NO > > SE cuanto tiempo y modifico muchas cuestiones comprometiendo TODA la red. > > Por ejemplo, seteo la placa de red para que cada vez que se levante lo haga > > en modo promiscuo, modifico archivos de configuracion para permitir su > > ingreso (SSH y FTP), oculto otros archivos cambiando dueños y permisos, y > > vaya uno a saber que mas. Lo primero que atine a hacer fue salvar los LOGS > > del sistema y algunos archivos para su posterior analisis, y despues > > reinstalar TODO el Servidor. De todos modos, por lo que pude ver, > > practicamente NO dejo rastros. Ya adverti a los usuarios para que cambien > > sus contraseñas. Lo que me gustaria saber, es que se hace en estos casos. > > Como puedo hacer para localizar al intruso???? Hay alguna manera de poner > > una especie de "trampa" para engañarlo y poder localizarlo??? Como puedo > > saber COMO hizo para entrar??? Que hago??? > > Bueno, muchas gracias...... > > > > Para localizar al intruso, necesitas algo aunque sea minima, de informacion de > logging. Si dices que los has salvado miralos con cuidado, analizando todas la > IPs que aparecen. Si tienes un sistema con varias maquinas, mira todos los > logs > de todas puesto que si usas NIS/LDAP o similar o con un tiempo que haya estado > con el sniffer ( para eso pone tu tarjeta en modo promiscuo ) ha podido pillar > passwords de otros sistemas. > > Existen formas de logear imborrables como grabar toda la info de log > directamente en un CD o que salga por impresora. No necesitas hacerlo de toda, > puedes hacer un filtro de todas las IPs que acceden y que syslog lo escriba > en > /dev/lp0 directamente. Para cuando fuera a borrar el log, este ya estaria > impreso. Un truco bastante trivial pero que deja sin recursos (si es que > tienen) a algunos listillos script-kiddies, es fijar tu directorio /var/log > con > el atributo de extfs "inmutable" (si usas ext2/ext3, claro esta) : > > # chattr -R +i /var/log > > Tengo alguna experiencia y la mayoria de veces dejan pistas. Mira el history > del bash, comprueba los servicios que tenias activos y si hay xploits > conocidos, si usas tcp-wrappers, acota la entrada por sitios determinados . > Tambien la politica de contraseñas suele ser la causa mas habitual > de ataques. > > Usas tripwire ? Te ayudara a saber que han hecho en tu sistema, que han > cambiado. Tambien puedes comprobar todos los checksum de los paquetes deb.Te > cuento cosas bastante basicas que posiblemente ya sepas pero que a veces se > pasan por alto. > > Si quieres molestarte mas ( y perder algo de tiempo ) puedes ponerle un > sistema trampa, de forma que ciertos servicios a ciertas IPs se direccionen a > otro sistema que hayas preparado para la captura de info del sujeto. Aqui ya > entra tus ganas y habilidad. > > Un saludo. Pedro. > > > _________________________________________________________________ > > Send and receive Hotmail on your mobile device: http://mobile.msn.com > > > > > > -- > > To UNSUBSCRIBE, email to [EMAIL PROTECTED] > > with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED] > > ----------------------------------------------- > E-Mail: Pedro Bados <[EMAIL PROTECTED]> > Date: 22-May-2002 > ----------------------------------------------- > > > -- > To UNSUBSCRIBE, email to [EMAIL PROTECTED] > with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED] > > -- ====================================================== | Jose Agustin Lopez Bueno | | E-Mail: [EMAIL PROTECTED] | | Home Page: http://www.uv.es/~lopezj/ | | http://www.uv.es/postman/ | | Tfnos: +34-6-3864310 +34-6-3983129 | | Fax: +34-6-3864200 | | Servicio de Informatica, Univ. de Valencia, Spain | ====================================================== -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]