El sáb, 27-07-2002 a las 09:28, Antonio Castro escribió: > On 26 Jul 2002, Ruben Porras wrote: > > > Pues eso > > $ who > > $ > > > > ¿ Como es posible? no se supone que tiene que mostrar al menos un > > usuario. > > Por si las moscas desconecta tu máquina de la red y comprueba que > tu 'who' no ha sido sustituido por otro (troyano) y que tu kernel > continua siendo el que debe ser. Lo he recompilado hace un par de días, así que debe de estar en orden.
No te fiés demasiado de los logs, > tambien pueden estar tocados. > > Si estás seguro que de que no te han atacado no se que otra explicación > puede haber pero tendrás que mirar muy bién. La verdad es que no estoy seguro de nada. Lo de mirar los logs no creo que sirva de nada pues el fallo se remonta a más de un mes y hasta hace 4 días no me he preocupado por la seguridad en absoluto. De hecho el motivo de que pregunte es que estoy preocupado por que alguien haya entrado en mi maquina. (De todas formas tampoco se muy bien que debo mirar en los logs) Leí harden-doc y he cerrado todos los puertos que tenía abiertos (que eran como 12, apache, webmin, cups, smtp, todos los del inetd...) Luego comprobe los archivos sin propietario o grupo, nada raro, ejecutables en /tmp, nada raro. instalé el paquete chkrootkit y lo ejecuté, no encontró nada. Luego comprobé los programas con el SUID/SGID, son los siguientes /usr/bin/wall /usr/bin/newgrp /usr/bin/chage /usr/bin/chfn /usr/bin/chsh /usr/bin/expiry /usr/bin/gpasswd /usr/bin/passwd /usr/bin/at /usr/bin/write /usr/bin/crontab /usr/bin/dotlockfile /usr/bin/mutt_dotlock /usr/bin/gpg /usr/bin/mtr /usr/bin/procmail /usr/bin/lockfile /usr/bin/kdesud /usr/bin/cdda2wav /usr/bin/cdrecord /usr/bin/readcd /usr/bin/kcheckpass /usr/bin/sudo /usr/bin/konsole_grantpty /usr/bin/mail-lock /usr/bin/traceroute /usr/bin/xscreensaver /usr/bin/splaymidi /usr/sbin/exim /usr/sbin/pppd /usr/sbin/gnome-pty-helper /usr/sbin/camel-lock-helper /usr/games/gnome-freecell /usr/games/gnomine /usr/games/sol /usr/games/gnome-stones /usr/games/mahjongg /usr/games/same-gnome /usr/games/gnibbles /usr/games/gnometris /usr/games/gnotravex /usr/games/ctali /usr/games/gtali /usr/games/gnobots2 /usr/games/iagno /usr/games/glines /usr/games/gataxx /usr/games/gnome-xbill /usr/games/gnotski /usr/games/crafty.bin /usr/games/atc /usr/games/animals /usr/games/battlestar /usr/games/canfield /usr/games/cribbage /usr/games/phantasia /usr/games/robots /usr/games/sail /usr/games/snake /usr/games/tetris-bsd /usr/games/luxman /usr/games/maped /usr/lib/pt_chown /usr/lib/mc/bin/cons.saver /usr/lib/xcdroast-0.98/bin/xcdrwrap /usr/lib/emacs/20.7/i386-debian-linux-gnu/movemail /usr/lib/emacs/21.2/i386-debian-linux-gnu/movemail /usr/lib/xemacs-21.4.6/i386-debian-linux/movemail /usr/lib/apache/suexec /usr/lib/ssh-keysign /usr/X11R6/bin/X /usr/X11R6/bin/xterm /sbin/unix_chkpwd /bin/login /bin/su /bin/mount /bin/umount /bin/ping En principio hay algunos comandos que hacen, pero lo unico que veo raro es que los juegos se encuentren en esta lista. La única forma que se me ha ocurrido de comprobar si el who es original es comprobando con md5sum, el codigo devuelto es 8e0ef9f966d7052ba5e09c1f83d443ce Estoy usando woody, me haría falta que elguien comprobase que es correcto. Voy a pasarme a Sarge, así que quizá los archivos modificados por un hacker se destruyan con la actualización. ¿Que pensais? -- The chains are broken and the door is open wide Our eyes adjusting to the light that was denied And the voices ringing out now Sing of freedom And bring a sense of wonder http://www.es.debian.org/intro/about.es.html -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]